นโยบายคุ้มครองข้อมูลส่วนบุคคล
บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จํากัด (มหาชน) ตระหนักถึงความสําคัญในการรักษาความลับของข้อมูล ส่วนบุคคล ซึ่งรวมถึงข้อมูลของลูกค้า พนักงาน ผู้จัดหาสินค้า/บริการ หุ้นส่วนทางธุรกิจ และข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ หรือเผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในศาสนา พฤติกรรมทาง เพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลพันธุกรรม ชีวภาพ บริษัทจึงได้กําหนดนโยบายคุ้มครองข้อมูลส่วนบุคคล การจัดประเภทข้อมูลที่ได้รับการคุ้มครอง การใช้และการปิดเผยข้อมูลส่วนบุคคล รวมถึงข้อกําหนดอื่น ๆ ให้เป็นไปตาม กฎหมาย โดยนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ ได้รับอนุมัติจากที่ประชุมคณะกรรมการบริษัทแล้ว
1. วัตถุประสงค์
บริษัทกําหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามที่กําหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้ครอบคลุมต่อผลกระทบที่เกิดจากพระราชบัญญัติฉบับนี้ โดยมีวัตถุประสงค์เพื่อป้องกันการนํา ข้อมูลส่วนบุคคลของผู้ที่มีส่วนได้เสียกับบริษัทซึ่งรวมถึงข้อมูลของลูกค้า พนักงาน ผู้จัดหาสินค้า/บริการ หุ้นส่วนทางธุรกิจ ไปใช้งานโดยมิชอบ หรือไม่ได้รับความยินยอมจากเจ้าของข้อมูลนั้น ๆ
2. ประเภทข้อมูลที่ได้รับการคุ้มครอง
- 2.1 ข้อมูลส่วนบุคคล หมายถึง ข้อมูลใดๆ ซึ่งทําให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ซึ่ง รวมถึงข้อมูลของลูกค้า พนักงาน ผู้จัดหาสินค้า/บริการ หุ้นส่วนทางธุรกิจ ดังนี้
- 2.1.1 ชื่อ - นามสกุล
- 2.1.2 อายุ
- 2.1.3 หมายเลขบัตรประจําตัวประชาชน
- 2.1.4 หมายเลขโทรศัพท์
- 2.1.5 ที่อยู่
- 2.1.6 อีเมล
- 2.1.7 รูปถ่าย
- 2.1.8 ประวัติการทํางาน
- 2.2ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ดังนี้
- 2.2.1เชื้อชาติ
- 2.2.2ชาติพันธุ์
- 2.2.3ความคิดเห็นทางการเมือง เช่น ข้อมูลที่ปรากฏใน social media ที่เกี่ยวข้องกับประเด็นการเมือง
- 2.2.4ความเชื่อทางศาสนา หรือ ปรัชญา เช่น บันทึกการลาบวช ของพนักงาน
- 2.2.5พฤติกรรมทางเพศ
- 2.2.6ประวัติอาชญากรรม
- 2.2.7ข้อมูลด้านสุขภาพ ความพิการ
- 2.2.8ข้อมูลสหภาพแรงงาน
- 2.2.9ข้อมูลพันธุกรรม
- 2.2.10ข้อมูลชีวภาพ
- 2.2.11ข้อมูลสุขภาพ เช่น ใบรับรองแพทย์
- 2.2.12ข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทํานองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกําหนด
3. การกําหนดสิทธิให้แก่เจ้าของข้อมูล
- 3.1 สิทธิที่จะได้รับแจ้ง
- 3.2 สิทธิในการแก้ไข
- 3.3 สิทธิในการได้รับและโอนถ่ายข้อมูล
- 3.4 สิทธิในการเข้าถึง
- 3.5 สิทธิคัดค้าน
- 3.6 สิทธิในการลบ (ถูกลืม)
- 3.7 สิทธิในการจํากัด
- 3.8 สิทธิในการเพิกถอนคํายินยอม
4. ข้อกําหนดสําคัญในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- 4.1 สาระสําคัญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
- 4.1.1 การเก็บรวมรวม การใช้ การเปิดเผย และ/หรือ การโอนข้อมูลส่วนบุคคล ต้องได้รับความยินยอม ยกเว้นมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย
- 4.1.2 ความยินยอม (หากจําเป็น) จะต้องให้โดยอิสระ เฉพาะเจาะจง และ ชัดแจ้ง และเจ้าของข้อมูล สามารถ ถอนความยินยอมได้
- 4.1.3 จะต้องมีการแจ้งข้อมูลบางประการในขณะเก็บรวมรวมข้อมูลส่วนบุคคล เช่น วัตถุประสงค์ ในการ เก็บรวบรวมข้อมูล ความเป็นไปได้ในการเปิดเผย/โอนข้อมูลส่วนบุคคล เป็นต้น
- 4.2 การใช้และเปิดเผยข้อมูลส่วนบุคคล
- 4.2.1 การใช้และเปิดเผยข้อมูลส่วนบุคคลจะต้องเป็นไปตามวัตถุประสงค์ตามที่เจ้าของข้อมูลได้ให้ความยินยอมไว้
- 4.2.2 การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศจะต้องเป็นไปตามหลักเกณฑ์ที่กําหนดใน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- 4.3 ข้อกําหนดอื่น ๆ
- 4.3.1 ดําเนินการให้เป็นไปตามสิทธิของเจ้าของข้อมูลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 รวมถึงสิทธิในการขอโอนข้อมูล และสิทธิในการลบข้อมูล
- 4.3.2 จัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลที่เหมาะสม
- 4.3.3 จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ในกรณีเป็นหน่วยงานที่มีการประมวลผลข้อมูลส่วนบุคคลจํานวนมาก หรือประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหว
- 4.3.4 การเก็บข้อมูลจะต้องถูกตรวจสอบโดยคณะกรรมการผู้เชี่ยวชาญ
- 4.3.5 จัดทําและเก็บรักษาบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลต่าง ๆ
- 4.3.6 แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง นับแต่ทราบเหตุ และแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ ในกรณีที่การละเมิด มีความเสี่ยงสูงที่จะกระทบ ต่อเจ้าของข้อมูลส่วนบุคคล
- 4.3.7 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องดําเนินการให้ผู้รับจ้างช่วง/ผู้ประมวลผลข้อมูลปฏิบัติตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
5. การปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- 5.1 ตรวจสอบพื้นฐานทางกฎหมายที่ใช้ในกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
- 5.2 การเก็บข้อมูล ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น ต้องแจ้งสิทธิ รายละเอียด และวัตถุประสงค์ของการเก็บข้อมูล ให้เจ้าของข้อมูลรับทราบเสมอ และต้องได้รับความยินยอมจากเจ้าของข้อมูล เสมอ การเก็บข้อมูลต้องเก็บเท่าที่จําเป็น ชอบด้วยกฎหมาย และ ต้องลบเมื่อพ้นระยะเวลาที่จําเป็นหรือที่ได้ แจ้งไว้ ตรวจสอบให้แน่ใจว่าความยินยอมและนโยบายความเป็นส่วนตัวเป็นไปตามหลักเกณฑ์ที่กําหนดไว้ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- 5.2.1 การขอความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ
- 5.2.1.1 ทําผ่านกระดาษ หรือ ระบบออนไลน์ก็ได้
- 5.2.1.2 อ่านง่าย เข้าใจง่าย
- 5.2.1.3 ไม่หลอกลวงให้เข้าใจผิด
- 5.2.1.4 แยกชัดเจนจากเงื่อนไขอื่นๆ และไม่เอาเงื่อนไขอื่นมาผูกพันธ์
- 5.2.2 การถอนความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ
- 5.2.2.1 ทําเมื่อไหร่ก็ได้
- 5.2.2.2 ทําได้ง่ายเช่นเดียวกับการให้ความยินยอม
- 5.2.2.3 แจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบ
- 5.2.1 การขอความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ
- 5.3 การใช้และเปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ และจะต้องใช้ตามวัตถุประสงค์ที่ แจ้งไว้เท่านั้น
- 5.4 การเข้าถึงและแก้ไข ต้องมีช่องทางให้เจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตัวเอง และแก้ไขได้ เช่น เว็บ CRM 50 Call Center
- 5.5 การโอนข้อมูลไปต่างประเทศ ปลายทางจะต้องมีมาตรฐานการคุ้มครองที่เพียงพอ เช่น การนําข้อมูลขึ้น Cloud หรือ Server อยู่ที่ต่างประเทศ
- 5.6 มีมาตรการการรักษาความปลอดภัย ต้องจัดให้มีระบบป้องกันข้อมูลที่ได้มาตรฐาน และหากพบว่ามีการรั่ว ของข้อมูล จะต้องแจ้งเจ้าของข้อมูลภายใน 72 ชม. จากที่ทราบเหตุ
- 5.7 ตรวจสอบสัญญาที่ทําขึ้นระหว่างบริษัทกับบุคคลภายนอก มีข้อกําหนดเรื่องการคุ้มครองข้อมูลส่วนบุคคลที่ รัดกุม และ เหมาะสม
- 5.8 จัดให้มีนโยบายการจัดการข้อมูลและการฝึกอบรมที่เหมาะสม
- 5.9 มีการตรวจสอบ ประเมินความเสี่ยง และปรับปรุงข้อมูลที่เกี่ยวข้องอยู่อย่างสม่ําเสมอ เพื่อหลีกเลี่ยง ข้อผิดพลาดที่อาจเกิดโดยไม่ได้ตั้งใจ
- 5.10 ปรับปรุง เพิ่มคุณสมบัติ อุปกรณ์และซอฟต์แวร์ที่เกี่ยวกับการเก็บและใช้งานข้อมูล ให้มีความปลอดภัยมาก ขึ้น กําหนดขั้นตอนการลบข้อมูลที่ไม่จําเป็นในช่วงเวลาที่เหมาะสม
- 5.11 ต้องมีการเก็บข้อมูล Cookie บนเบราว์เซอร์ที่ใช้งาน ซึ่งตัว Cookie นี้เปรียบเสมือนไฟล์ที่เก็บข้อมูลต่าง ๆ ของผู้ใช้ โดยถ้าเว็บเหล่านั้นมีการติดตั้งเครื่องมือ Tracking หรือ Analytics เช่น Google Analytics, Facebook Pixel หรืออื่นๆ ก็จะมีการเก็บ Cookie เพื่อนําใช้งานตามจุดประสงค์ของแต่ละเครื่องมือ
- 5.12 กําหนดการยอมรับการเก็บข้อมูลการใช้งานเว็บไซต์ หรือ Cookie Consent ที่เป็นการขอความยินยอมจาก ผู้ใช้ ว่าจะมีการเก็บ Cookie เพื่อนําไปใช้งาน โดยจะมีการแจ้งจุดประสงค์ชัดเจนว่าจะนําไปใช้เพื่ออะไร โดย สามารถให้ผู้ใช้สามารถยินยอม และถอนความยินยอมเมื่อใดก็ได้ (โดยสามารถทําได้ง่าย เหมือนตอนยินยอม) และแจ้งให้ผู้ใช้งานทราบถึงผลกระทบด้วยเช่นกัน
- 5.13 บูรณาการฝ่ายกฎหมายและฝ่ายสารสนเทศของบริษัท เพื่อทําให้การจัดการเป็นไปได้อย่างรัดกุมและรวดเร็วที่สุด
6. บทบาทและหน้าที่
- 6.1 ส่วนกลาง
- 6.1.1 ผู้ควบคุมข้อมูล มีอํานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูล
- 6.1.2 ผู้ประมวลผล มีบทบาท ดําเนินการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลตามคําสั่ง หรือ ในนามของผู้ ควบคุม (ต้องเป็นคนละคนกับผู้ควบคุม)
- 6.1.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ในกรณีที่มีการเก็บข้อมูลจํานวนมาก ทั้งนี้คณะกรรมการ คุ้มครองข้อมูลส่วนบุคคลที่อาจถูกแต่งตั้งจากฝ่ายงานหลายๆ ฝ่ายมารวมกันทําหน้าที่หลักๆ คือ การให้ คําแนะนํา ตรวจสอบ ประสานงาน ให้บริษัททําหน้าที่ตามกฎหมายได้
- 6.2 ฝ่ายงานย่อย
- 6.2.1 ฝ่ายกฎหมาย มีหน้าที่เกี่ยวข้องในหลาย ๆ ส่วน โดยเฉพาะการเขียนสัญญา ข้อตกลง และ นโยบายต่าง ๆ เพื่อที่จะรับรองความถูกต้อง
- 6.2.2 ฝ่ายสารสนเทศจัดให้มี
- 6.2.2.1 มาตรการรักษาความปลอดภัยที่เหมาะสม ตามมาตรฐานขั้นต่ําที่คณะกรรมการกําหนด
- 6.2.2.2 ป้องกันการเปิดเผยโดยปราศจากอํานาจ หรือ โดยมิชอบ และลบเมื่อถึงเวลา หรือ เกินความจําเป็น
- 6.2.2.3 กําหนดการยอมรับการเก็บข้อมูลการใช้งานเว็บไซต์ หรือ ระบบสมาชิก ให้ตรงตามที่พรบ. กําหนด
- 6.2.3 ฝ่ายการตลาด คือ ผู้ใช้และเก็บข้อมูลมากที่สุด ต้องทําการประเมินความเสี่ยงและกําหนดระดับ ความสําคัญของข้อมูลที่ต้องได้รับการคุ้มครอง
- 6.2.4 ฝ่ายขาย รับผิดชอบในส่วนของการเก็บข้อมูลของทั้งลูกค้าและข้อมูลติดต่อของผู้ที่แสดงความสนใจ ในสินค้า มีความจําเป็นต้องขออนุญาตการใช้ข้อมูลจากลูกค้าที่เกี่ยวข้อง
- 6.2.5 ฝ่ายบุคคล มีความรับผิดชอบในส่วนของข้อมูลของพนักงาน รวมถึงใบสมัครและเอกสารแนะนําตัว Resume จากผู้สมัคร การเก็บข้อมูลรูปหรือบัตรประชาชนก่อนเข้าอาคาร การติดตั้งกล้องถ่ายภาพถ่าย วีดีโอทั้งคนในและคนนอก
สำหรับการใช้งานกล้องวงจรปิด (CCTV)
บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) ซึ่งต่อไปนี้จะเรียกว่า "บริษัท" ได้จัดให้มีการติดตั้งกล้องวงจรปิด (CCTV) ทั้งภายในและบริเวณโดยรอบของบริษัทเพื่อการรักษาความมั่นคงปลอดภัยของสถานที่ ทรัพย์สิน ของบริษัท รวมทั้งการรักษาความปลอดภัยในชีวิต ร่างกายและสุขภาพของบุคคลใด ๆ ก็ตามที่อยู่ภายในและบริเวณโดยรอบของบริษัท บริษัทให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อให้การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลโดยการใช้กล้องวงจรปิด เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อแจ้งข้อมูลให้เจ้าของข้อมูลส่วนบุคคลทราบเกี่ยวกับ สิทธิ หน้าที่ ตลอดจนเงื่อนไขต่าง ๆ ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท
1. คำนิยาม
| คำศัพท์ | คำนิยาม |
|---|---|
| กฎหมายคุ้มครองข้อมูลส่วนบุคคล | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงฉบับแก้ไขเพิ่มเติม กฎหมาย กฎหมายลำดับรอง กฎ ระเบียบ ประกาศ หรือคำสั่ง ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล |
| ข้อมูลส่วนบุคคล | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| ข้อมูลส่วนบุคคลอ่อนไหว | ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
| เจ้าของข้อมูลส่วนบุคคล | บุคคลธรรมดาซึ่งถูกทำให้ระบุตัวตนได้ด้วยข้อมูลส่วนบุคคล ไม่ว่าโดยทางตรงหรือทางอ้อม |
| การประมวลผล/ประมวลผล | การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย |
| นโยบาย | นโยบายความเป็นส่วนตัว บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) สำหรับการใช้งานกล้องวงจรปิด (CCTV) |
2. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
ในการเก็บรวบรวม และเก็บรักษาข้อมูลส่วนบุคคลบริษัท จะใช้วิธีการที่ชอบด้วยกฎหมายและจำกัดเพียงเท่าที่จำเป็นตามวัดถุประสงค์การดำเนินงานของบริษัท ดังต่อไปนี้
| ประเภท | ตัวอย่างข้อมูลส่วนบุคคล |
|---|---|
| ข้อมูลที่ใช้ระบุตัวตนและคุณลักษณะบุคคล |
|
อย่างไรก็ดี บริษัทจะไม่ติดตั้งกล้องวงจรปิดในพื้นที่ที่อาจล่วงละเมิดสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลเกินสมควร ได้แก่ ห้องน้ำ สถานที่เพื่อใช้ในการพักผ่อนของผู้ปฏิบัติงาน เป็นต้น
3. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
บริษัทจะประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ต่าง ๆ โดนอาศัยฐานทางกฎหมาย ดังต่อไปนี้
| ลำดับ | ฐานทางกฎหมาย | การใช้ข้อมูลส่วนบุคคล |
|---|---|---|
| 1 | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) | เป็นการดำเนินงานที่จำเป็นของบริษัทภายใต้ประโยชน์โดยชอบตามกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผล และไม่ละเมิดต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลเกินควร |
| 2 | การปฏิบัติตามกฎหมาย (Legal Obligation) | เป็นการปฏิบัติตามกฎหมาย กฎระเบียบ หรือคำสั่งของหน่วยงานรัฐที่ทำหน้าที่ในการกำกับดูแลบริษัท ซึ่งรวมไปถึงการดำเนินการที่จำเป็นในกระบวนการทางกฎหมาย |
| 3 | ประโยชน์สำคัญต่อชีวิต (Vital Interest) | เป็นการดำเนินงานเพื่อปกป้องประโยชน์สำคัญของเจ้าของข้อมูลส่วนบุคคล อาทิ การปกป้องอันตรายต่อชีวิต ร่างกาย และสุขภาพ ของเจ้าของข้อมูลส่วนบุคคล |
| ลำดับ | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| 1 | เพื่อการรักษาความมั่นคงปลอดภัยของอาคาร สิ่งอำนวยความสะดวก และทรัพย์สินภายในและบริเวณโดยรอบของบริษัท | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 2 | เพื่อการรักษาความปลอดภัยและปกป้องอันตรายในชีวิต ร่างกายและสุขภาพของเจ้าของข้อมูลส่วนบุคคลรวมไปถึงการรักษาความปลอดภัยในทรัพย์สินของเจ้าของข้อมูลส่วนบุคคลภายในและบริเวณโดยรอบของบริษัท | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) ประโยชน์สำคัญต่อชีวิต (Vital Interest) |
| 3 | เพื่อสนับสนุนหน่วยงานที่เกี่ยวข้องในการบังคับใช้กฎหมายเพื่อการยับยั้ง ป้องกัน สืบค้น และดำเนินคดีตามกฎหมาย | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 4 | เพื่อการให้ความช่วยเหลือในกระบวนการระงับข้อพิพาทซึ่งเกิดขึ้นในระหว่างที่มีกระบวนการทางวินัยหรือกระบวนการร้องทุกข์ | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 5 | เพื่อการให้ความช่วยเหลือในกระบวนการสอบสวน หรือกระบวนการเกี่ยวกับการส่งเรื่องร้องเรียน รวมไปถึงกระบวนการริเริ่มหรือป้องกันการฟ้องร้องทางศาล เช่น การใช้สิทธิเรียกร้องทางคดีแรงงาน | การปฏิบัติตามกฎหมาย (Legal Obligation) |
4. การเปิดเผยข้อมูลส่วนบุคคล
- 4.1 โดยทั่วไป บริษัทจะเก็บรักษาข้อมูลในกล้องวงจรปิดเป็นความลับและจะไม่ดำเนินการส่งต่อหรือเปิดเผยข้อมูลเหล่านั้น เว้นแต่ กรณีที่บริษัทมีความจำเป็นเพื่อให้สามารถบรรลุวัตถุประสงค์ตามที่ได้ระบุในนโยบายฉบับนี้ บริษัทอาจส่งต่อหรือเปิดเผยข้อมูลในกล้องวงจรปิดแก่บุคคลหรือนิติบุคคล ดังต่อไปนี้
หน่วยงานภายในบริษัท บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้แก่ บุคลากรของบริษัท หน่วยงานภายในบริษัท โดยหมายรวมถึง ผู้บริหาร หัวหน้างาน พนักงาน อย่างไรก็ดี บริษัทจะจำกัดแค่เฉพาะผู้ที่เกี่ยวข้องและมีความจำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลเท่านั้น
ผู้ให้บริการ บริษัทอาจว่าจ้างผู้ให้บริการภายนอก (Outsource) เป็นผู้ให้บริการแทนหรือสนับสนุนการดำเนินธุรกิจของบริษัท ซึ่งรวมไปถึง ตัวแทน ผู้รับจ้าง ผู้รับจ้างช่วง ของผู้ให้บริการนั้นด้วย เช่น ผู้ให้บริการด้านความปลอดภัย เพื่อสร้างความมั่นใจในการรักษาความปลอดภัยของบริษัท รวมไปถึงผู้ให้บริการด้านกล้องวงจรปิด เพื่อวัตถุประสงค์ในการซ่อมและปรับปรุงระบบเฉพาะในกรณีที่บริษัทอนุญาตแล้วเท่านั้น
หน่วยงานรัฐที่มีอำนาจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ให้แก่หน่วยงานราชการ หน่วยงานที่ทำหน้าที่กำกับดูแลบริษัท หรือหน่วยงานอื่นที่มีอำนาจหน้าที่ตามที่กฎหมายกำหนด เพื่อการปฏิบัติตามกฎหมาย อาทิ สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ศาล รวมทั้งเจ้าหน้าที่รัฐที่มีอำนาจในการเข้าถึงข้อมูลส่วนบุคคล เช่น เจ้าหน้าที่ตำรวจอัยการ
- 4.2 บริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และจะดำเนินการเพื่อป้องกันไม่ให้มีการประมวลผลข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงจะดำเนินการภายใต้วัตถุประสงค์ที่กำหนดในนโยบายฉบับนี้หรือวัตถุประสงค์อื่นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้กระทำได้เท่านั้น โดยในกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล บริษัทจะแจ้งและขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเป็นการเฉพาะ
5. การส่งต่อหรือโอนข้อมูลไปยังต่างประเทศ
- 5.1 โดยทั่วไปแล้วบริษัทไม่มีความประสงค์ที่จะส่งต่อหรือโอนข้อมูลในกล้องวงจรไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ ทั้งนี้ หากบริษัทมีความจำเป็นต้องส่งหรือโอนข้อมูลดังกล่าว บริษัทจะดำเนินการขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเป็นการเฉพาะ
- 5.2 ในการส่งต่อหรือโอนข้อมูลดังกล่าว บริษัทจะจัดให้มีมาตรการการคุ้มครองและรักษาความปลอดภัยที่เหมาะสม และจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทจะดำเนินการตามมาตรการเพื่อทำให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอหรือเป็นไปตามเงื่อนไขตามที่กฎหมายกำหนดอื่นๆ
- 5.3 บริษัทอาจเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชั่นของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ บริษัทจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคล และจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม
6. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
- 6.1 บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลในระยะเวลาเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่บริษัทดำเนินความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคลและแนวปฏิบัติต่อข้อมูลส่วนบุคคลแต่ละประเภท โดยปกติบริษัทจะเก็บข้อมูลส่วนบุคคลจากกล้องวงจรปิดเป็นระยะเวลาไม่เกิน 90 วันนับแต่วันที่ได้มีการจัดเก็บข้อมูลดังกล่าว
- 6.2 เมื่อพ้นระยะเวลาที่ระบุไว้ข้างต้นหรือเมื่อหมดความจำเป็นที่จะต้องเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้โดยทันที ทั้งนี้ บริษัท อาจเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วนเกินกว่าระยะเวลาที่ระบุไว้ข้างต้น เพื่อการปฏิบัติตามกฎหมายหรือคำสั่งโดยชอบด้วยกฎหมาย
- 6.3 บริษัท ได้จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาในการเก็บรักษาหรือหมดความจำเป็นในการประมวลผลข้อมูลนั้น
7. มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 7.1 บริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งมาตรการป้องกันด้านการบริหารจัดการ (administrative measure) มาตรการป้องกันด้านเทคนิค (technical measure) และมาตรการป้องกันทางกายภาพ (physical measure) เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพพร้อมใช้งานของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูลส่วนบุคคลจากผู้ที่ไม่มีสิทธิหรือหน้าที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้น
- 7.2 บริษัทได้มีการบังคับใช้มาตรการรักษาความมั่นคงปลอดภัยภายในบริษัท อย่างเข้มงวด โดยใช้เทคโนโลยีและขั้นตอนการรักษาความมั่นคงปลอดภัย อาทิ การจัดให้มีมาตรการควบคุมการเข้าถึงและใช้งานข้อมูลส่วนบุคคล โดยกำหนดสิทธิการเข้าถึงข้อมูล สิทธิในการอนุญาตให้ผู้ที่ได้รับมอบหมายให้เข้าถึงข้อมูลได้ รวมทั้งการจัดให้มีมาตรการสำหรับการตรวจสอบย้อนหลัง เพื่อให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและบุคคลเหล่านี้ได้รับการฝึกอบรมและมีความตระหนักรู้เกี่ยวกับความสำคัญของการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 7.3 บริษัทจะจัดให้มีการทบทวนมาตรการดังกล่าว รวมทั้งปรับปรุงและพัฒนามาตรการดังกล่าว เมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้การรักษาความมั่นคงปลอดภัยข้อมูลเป็นไปอย่างมีประสิทธิภาพ
8. สิทธิของเจ้าของข้อมูลส่วนบุคคลและการใช้สิทธิในการดำเนินการดังกล่าว
- 8.1 ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่ระบุ ดังต่อไปนี้
| สิทธิของเจ้าของ ข้อมูลส่วนบุคคล | รายละเอียด |
|---|---|
| สิทธิในการขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูล (Right to access and retrieve a copy of data) |
|
| สิทธิในการขอให้โอนย้ายข้อมูล (Right to data portability) |
|
| สิทธิในการคัดค้าน การประมวลผลข้อมูล (Right to object to Data Processing) |
|
| สิทธิขอให้ลบหรือทำลายข้อมูล (Right to erasure/Right to be forgotten) | เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทดำเนินการลบ ทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวเจ้าของข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
|
| สิทธิขอให้ระงับการ ประมวลผลข้อมูล (Right to restriction of Data Processing) | เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทระงับการประมวลผลข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
|
| สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง (Right to rectification) | เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้มีบริษัทดำเนินการแก้ไขข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้ถูกต้อง เป็นปัจจุบัน ครบถ้วนสมบูรณ์ หรือไม่ก่อให้เกิดความเข้าใจผิด |
| สิทธิในการร้องเรียน (Right to lodge a complaint) | เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนมายังบริษัทหรือหน่วยงานที่มีอำนาจตามกฎหมาย หากเจ้าของข้อมูลส่วนบุคคลเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล |
- 8.2 เจ้าของข้อมูลส่วนบุคคลอาจใช้สิทธิข้างต้นของเจ้าของข้อมูลส่วนบุคคลได้ตลอดเวลา โดยติดต่อผ่านช่องทางการติดต่อตามข้อ 10. เพื่อดำเนินการแจ้งขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- 8.3 การใช้สิทธิดังกล่าวของเจ้าของข้อมูลส่วนบุคคลอาจถูกจำกัดภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้อง และอาจมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฎิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีนี้บริษัทจะแจ้งเหตุผลของการปฎิเสธพร้อมกับคำตอบสนองต่อคำขอใช้สิทธิดังกล่าว
9. การแก้ไขเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
บริษัทอาจมีการปรับปรุงแก้ไขเพิ่มเติมนโยบายความเป็นส่วนตัวได้ตามความเหมาะสมและสถานการณ์ที่เปลี่ยนแปลงไป โดยหากเป็นการเปลี่ยนแปลงในสาระสำคัญของนโยบายฉบับนี้ บริษัทจะแจ้งการปรับปรุงแก้ไขเพิ่มเติมนโยบายให้เจ้าของข้อมูลส่วนบุคคลทราบ และขอให้เจ้าของข้อมูลส่วนบุคคลตรวจสอบนโยบายฉบับนี้เป็นประจำ
10. ช่องทางการติดต่อ
หากเจ้าของข้อมูลส่วนบุคคลมีข้อสงสัยเกี่ยวกับเนื้อหาในนโยบายความเป็นส่วนตัวฉบับนี้ หรือต้องการข้อมูลเพิ่มเติมเกี่ยวกับแนวปฏิบัติของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือมีความประสงค์ต้องการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล กรุณาติดต่อผ่านช่องทางการติดต่อดังนี้
ติดต่อบริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
สถานที่ติดต่อ: บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) 99/1 หมู่ 4 ตำบลแคราย อำเภอกระทุ่มแบน จังหวัดสมุทรสาคร 74110
อีเมล: DPO@nrinstant.com
หมายเลขโทรศัพท์: 034849576-80
11. กฎหมายที่ใช้บังคับ
เจ้าของข้อมูลส่วนบุคคลตกลงและรับทราบว่านโยบายฉบับนี้อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาชี้ขาดข้อพิพาทใด ๆ ที่อาจเกิดขึ้นจากนโยบายฉบับนี้
นโยบายฉบับนี้ได้รับการอนุมัติจากคณะกรรมการบริษัท ในการประชุมครั้งที่ 9/2568 เมื่อวันที่ 15 พฤษภาคม 2568 ทั้งนี้ให้มีผลบังคับใช้ตั้งแต่วันที่ 16 พฤษภาคม 2568 เป็นต้นไป
สำหรับลูกค้าของบริษัท
บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) ซึ่งต่อไปนี้จะเรียกว่า "บริษัท" ให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าและบุคคลธรรมดาที่เกี่ยวข้องหรือเป็นตัวแทนของลูกค้าที่กระทำการแทนหรือในนาม เช่น ผู้บริหาร ผู้ถือหุ้น กรรมการผู้มีอำนาจลงนาม ผู้รับมอบอำนาจ ผู้รับมอบอำนาจช่วง พนักงาน ลูกจ้าง และตัวแทนของนิติบุคคล (“ท่าน”) เพื่อให้การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อแจ้งข้อมูลให้ท่านทราบเกี่ยวกับ สิทธิ หน้าที่ ตลอดจนเงื่อนไขต่าง ๆ ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท
1. คำนิยาม
| คำศัพท์ | คำนิยาม |
|---|---|
| กฎหมายคุ้มครองข้อมูลส่วนบุคคล | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงฉบับแก้ไขเพิ่มเติม กฎหมาย กฎหมายลำดับรอง กฎ ระเบียบ ประกาศ หรือคำสั่ง ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล |
| ข้อมูลส่วนบุคคล | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| ข้อมูลส่วนบุคคลอ่อนไหว | ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
| เจ้าของข้อมูลส่วนบุคคล | บุคคลธรรมดาซึ่งถูกทำให้ระบุตัวตนได้ด้วยข้อมูลส่วนบุคคล ไม่ว่าโดยทางตรงหรือทางอ้อม |
| การประมวลผล/ประมวลผล | การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย |
| นโยบาย | นโยบายความเป็นส่วนตัว บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) สำหรับลูกค้าของบริษัท |
| ลูกค้า | บุคคลธรรมดาหรือนิติบุคคลที่เป็นเป้าหมายของบริษัทในการดำเนินงานขายสินค้าหรือบริการของบริษัท ไม่ว่าจะมีการดำเนินการชำระค่าสินค้าหรือบริการแล้วหรืออาจมีการดำเนินการเช่นว่านั้นในอนาคตก็ตาม รวมทั้งบุคคลใด ๆ ที่มีลักษณะคล้ายคลึงกัน เช่น ผู้เข้าร่วมกิจกรรม ผู้ติดต่อขอรับบริการจากบริษัท ผู้ใช้บริการเว็บไซต์ ผู้ตอบแบบสอบถามเกี่ยวกับสินค้าหรือบริการของบริษัท เป็นต้น |
2. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
ในการเก็บรวบรวมและเก็บรักษาข้อมูลส่วนบุคคลบริษัท จะใช้วิธีการที่ชอบด้วยกฎหมายและจำกัดเพียงเท่าที่จำเป็นตามวัดถุประสงค์การดำเนินงานของบริษัท ดังต่อไปนี้
| ประเภท | ตัวอย่างข้อมูลส่วนบุคคล |
|---|---|
| ข้อมูลที่ใช้ระบุตัวตนและคุณลักษณะบุคคล | คำนำหน้า ชื่อ นามสกุล อายุ วันเดือนปีเกิด เพศ สัญชาติ เลขประจำตัวประชาชน เลขประจำตัวผู้เสียภาษี รูปภาพ ลายมือชื่อ |
| ข้อมูลสำหรับการติดต่อ | ที่อยู่ อีเมล หมายเลขโทรศัพท์ สถานที่ทำงาน Line ID |
| ที่อยู่ อีเมล หมายเลขโทรศัพท์ สถานที่ทำงาน Line ID | แผนก ตำแหน่งงาน |
| ข้อมูลทางการเงิน | เงินเดือน หมายเลขบัญชีธนาคาร |
| ข้อมูลที่ใช้ประกอบเป็นหลักฐานในการทำนิติกรรมต่าง ๆ | นามบัตร สำเนาบัตรประจำตัวประชาชน |
| ข้อมูลทางเทคนิค | IP Address, MAC Address |
| ข้อมูลอื่นๆ |
|
โดยทั่วไปแล้ว บริษัทไม่มีความประสงค์ในการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว เช่น ข้อมูลศาสนาและหมู่โลหิตที่ปรากฏอยู่บนหน้าบัตรประจำตัวประชาชนของท่าน หากท่านมอบสำเนาบัตรประชาชนให้แก่บริษัทซึ่งปรากฎข้อมูลดังกล่าว บริษัทขอให้ท่านปกปิดข้อมูลดังกล่าวก่อนส่งมอบให้กับบริษัท หากท่านมิได้ปกปิดข้อมูลข้างต้น ถือว่าท่านยินยอมให้บริษัทดำเนินการปกปิดข้อมูลเหล่านั้น
3. แหล่งที่มาของข้อมูลส่วนบุคคล
บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากแหล่งต่าง ๆ ดังต่อไปนี้
| ประเภท | ตัวอย่างแหล่งข้อมูลส่วนบุคคลที่เก็บรวบรวม |
|---|---|
| ข้อมูลส่วนบุคคลที่ได้รับจากท่านโดยตรง |
|
| ข้อมูลส่วนบุคคลที่ได้รับโดยอัตโนมัติ |
|
| ข้อมูลส่วนบุคคลที่ได้รับจากแหล่งอื่นหรือบุคคลที่สาม |
|
ในกรณีที่ท่านตกลงและยินยอมให้ข้อมูลส่วนบุคคลใด ๆ ที่เกี่ยวข้องกับบุคคลภายนอกให้แก่บริษัท ท่านรับรองและรับประกันความถูกต้องของข้อมูลส่วนบุคคลนั้น และท่านรับรองและรับประกันว่าท่านได้แจ้งให้บุคคลเหล่านั้นทราบอย่างครบถ้วนแล้วเกี่ยวกับนโยบายฉบับนี้
4. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
บริษัทจะประมวลผลข้อมูลส่วนบุคคลของท่าน เพื่อวัตถุประสงค์ต่าง ๆ โดนอาศัยฐานทางกฎหมาย ดังต่อไปนี้
| ลำดับ | ฐานทางกฎหมาย | การใช้ข้อมูลส่วนบุคคล |
|---|---|---|
| 1 | การปฏิบัติตามสัญญา (Performance of Contract) | เป็นการจำเป็นเพื่อปฏิบัติตามสัญญา ซึ่งท่านเป็นคู่สัญญากับบริษัท รวมทั้งเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญา |
| 2 | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) | เป็นการดำเนินงานที่จำเป็นของบริษัทภายใต้ประโยชน์โดยชอบตามกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผล และไม่ละเมิดต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลเกินควร |
| 3 | การปฏิบัติตามกฎหมาย (Legal Obligation) | เป็นการปฏิบัติตามกฎหมาย กฎระเบียบ หรือคำสั่งของหน่วยงานรัฐที่ทำหน้าที่ในการกำกับดูแลบริษัท |
| 4 | ประโยชน์สำคัญต่อชีวิต (Vital Interest) | เป็นการดำเนินงานเพื่อปกป้องประโยชน์สำคัญของเจ้าของข้อมูลส่วนบุคคล เช่น การปกป้องอันตรายต่อชีวิต ร่างกาย และสุขภาพ ของเจ้าของข้อมูลส่วนบุคคล |
| 5 | ความยินยอม (Consent) | ในกรณีที่บริษัทมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลอ่อนไหว ซึ่งไม่สามารถอาศัยฐานทางกฎหมายตามที่ระบุไว้ข้างต้นได้ บริษัทจะแจ้งและขอความยินยอมโดยชัดแจ้งเป็นการเฉพาะจากท่าน |
| ลำดับ | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| 1 | เพื่อการติดต่อสื่อสารและดำเนินการต่าง ๆ รวมทั้งการจัดการภายในก่อนการเข้าทำท่าน เช่น การจัดทำใบเสนอราคา การขึ้นทะเบียนลูกค้า |
|
| 2 | เพื่อการปฏิบัติตามสัญญา การดำเนินการตามคำสั่งซื้อรวมถึงการเปิดเผยข้อมูลให้แก่บุคคลภายนอกเพื่อดำเนินการเช่นว่านั้น การประสานงานกับท่าน การเรียกเก็บค่าสินค้าและบริการ การบริการหลังการขาย |
|
| 3 | เพื่อการดำเนินการอันเกี่ยวข้องกับการดำเนินธุรกิจของบริษัท การดำเนินการตามสัญญาระหว่างบริษัทและท่าน การติดต่อดำเนินการกับหน่วยงานภายนอกอื่นๆที่เกี่ยวข้องเพื่อวัตถุประสงค์แห่งสัญญา |
|
| 4 | เพื่อทำการตลาด ติดต่อสื่อสารเกี่ยวกับกิจกรรมทางการตลาดที่วิเคราะห์แล้วเห็นว่าตรงกับความต้องการของท่าน การนำเสนอข้อมูลทางการตลาด ข้อมูลสินค้าและบริการ รวมทั้งการจัดการต่าง ๆ ที่เกี่ยวข้องกับการบริการลูกค้า การจัดโครงการส่งเสริมการขาย | ความยินยอม (Consent) |
| 5 | เพื่อเก็บข้อมูลและวิเคราะห์ข้อมูลพฤติกรรมของท่านและสำรวจความพึงพอใจ เพื่อเป็นฐานข้อมูลในการบริหารความสัมพันธ์ เพื่อปรับปรุงการให้บริการและออกแบบกิจกรรมทางการตลาดให้สอดคล้องกับท่านมากยิ่งขึ้น | ความยินยอม (Consent) |
| 6 | เพื่อเก็บข้อมูลการติดต่อสื่อสารในระบบฐานข้อมูลเพื่อการติดต่อและสร้างโอกาสทางธุรกิจในอนาคต รวมทั้งเพื่อใช้ข้อมูลในการติดต่อประสานงานต่าง ๆ ที่เกี่ยวข้องกับบริษัท | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 7 | เพื่อการปฏิบัติตามกฎหมายที่ใช้บังคับกับการดำเนินธุรกิจของบริษัท เช่น การออกหนังสือรับรองการหักภาษี ณ ที่จ่าย การออกใบกำกับภาษี การเปิดเผยข้อมูลทางบัญชีให้ผู้ตรวจสอบบัญชี | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 8 | เพื่อการบริหารจัดการด้านเทคโนโลยีสารสนเทศ เช่น การสำรองข้อมูล การบันทึกข้อมูลการเข้าใช้งาน ข้อมูลการจราจรบนระบบเทคโนโลยีสารสนเทศของบริษัท |
|
| 9 | เพื่อดูแลรักษาความปลอดภัยของชีวิต ร่างกาย สุขภาพและทรัพย์สินของท่านภายในและบริเวณโดยรอบของบริษัท เช่น การสอดส่องดูแลด้วยกล้องวงจรปิด (CCTV) |
|
| 10 | เพื่อการก่อตั้งสิทธิเรียกร้องทางกฎหมาย การปฏิบัติหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือการยกขึ้นสู้ซึ่งสิทธิเรียกร้องตามกฎหมาย ซึ่งรวมถึงแต่ไม่จำกัดเพียงการดำเนินคดี การบังคับคดี หรือการดำเนินการใด ๆ ตามกระบวนการทางกฎหมาย | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 11 | เพื่อปฏิบัติตามกฎหมาย กฎระเบียบ ข้อบังคับ ทั้งในประเทศและต่างประเทศที่ใช้บังคับ และเพื่อปฏิบัติตามคำสั่งของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายหรือเจ้าพนักงานที่มีอำนาจหน้าที่ตามกฎหมาย | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 12 | เพื่อบริหารความเสี่ยง การเฝ้าระวัง ตรวจสอบ และรายงานเกี่ยวกับอาชญากรรมทางการเงิน การทุจริต การประพฤติโดยมิชอบ และอาชญากรรมอื่นๆ | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
5. การเปิดเผยข้อมูลส่วนบุคคล
- 5.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านไปยังบุคคลภายในและภายนอกบริษัท ดังต่อไปนี้
หน่วยงานภายในบริษัทและบริษัทในเครือ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ บุคลากรของบริษัท หน่วยงานภายในบริษัท โดยหมายรวมถึง ผู้บริหาร หัวหน้างาน พนักงาน รวมทั้งบริษัทในเครือ อย่างไรก็ดี บริษัทจะจำกัดแค่เฉพาะผู้ที่เกี่ยวข้องและมีความจำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลเท่านั้น
พันธมิตรทางธุรกิจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่พันธมิตรทางธุรกิจในเชิงการบริหารจัดการในเชิงการปฏิบัติงานของบริษัท ซึ่งรวมไปถึง ตัวแทน ผู้รับมอบอำนาจ ขององค์กรนั้นด้วย เช่น ธนาคาร สถาบันการเงิน บริษัทประกันภัย เป็นต้น
ผู้ให้บริการ บริษัทอาจว่าจ้างผู้ให้บริการภายนอก (Outsource) เป็นผู้ให้บริการแทนหรือสนับสนุนการดำเนินธุรกิจของบริษัทและการให้บริการแก่ลูกค้า ซึ่งรวมไปถึง ตัวแทน ผู้รับจ้าง ผู้รับจ้างช่วง ของผู้ให้บริการนั้นด้วย เช่น ผู้ให้บริการจัดการเว็บไซต์และสื่อสารสนเทศ ผู้ให้บริการด้านขนส่ง ผู้ให้บริการด้านการประชาสัมพันธ์
ที่ปรึกษาวิชาชีพ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ ผู้ตรวจสอบบัญชี ผู้ตรวจสอบการบริหารงานของบริษัท ที่ปรึกษาในด้านต่าง ๆ ผู้ให้บริการทางวิชาชีพและผู้เชี่ยวชาญอื่นใดทั้งภายในและภายนอกบริษัท เพื่อสนับสนุนการดำเนินธุรกิจของบริษัท
หน่วยงานรัฐที่มีอำนาจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านหน่วยงานราชการ หน่วยงานที่ทำหน้าที่กำกับดูแลบริษัท หรือหน่วยงานอื่นที่มีอำนาจหน้าที่ตามที่กฎหมายกำหนด เพื่อการปฏิบัติตามกฎหมาย เช่น กรมสรรพากร กรมศุลกากร กรมสรรพสามิต สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ศาล รวมทั้งเจ้าหน้าที่รัฐที่มีอำนาจในการเข้าถึงข้อมูลส่วนบุคคล เช่น เจ้าหน้าที่ตำรวจ อัยการ
สื่อสาธารณะ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์บนสื่อสาธารณะ ไม่ว่าจะเป็นในรูปแบบสารสนเทศหรือไม่ก็ตาม ซึ่งบุคคลทั่วไปสามารถเข้าถึงได้ ไม่ว่าจะเป็นโซเชียลมีเดียหรือช่องทางการสื่อสารของบริษัท หรือเป็นเว็บไซต์ของหน่วยงานรัฐที่มีอำนาจที่เกี่ยวข้อง
- 5.2 บริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลส่วนบุคคลของท่านอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และจะดำเนินการเพื่อป้องกันไม่ให้มีการประมวลผลข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงจะดำเนินการภายใต้วัตถุประสงค์ที่กำหนดในนโยบายฉบับนี้หรือวัตถุประสงค์อื่นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้กระทำได้เท่านั้น โดยในกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ต้องขอความยินยอมจากท่าน บริษัทจะแจ้งและขอความยินยอมจากท่านเป็นการเฉพาะ
6. การส่งต่อหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
- 6.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ ทั้งนี้ หากมีความจำเป็นที่บริษัทจะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ บริษัทจะแจ้งและขอความยินยอมโดยชัดแจ้งจากท่านสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเป็นการเฉพาะ
- 6.2 ในการส่งต่อหรือโอนข้อมูลดังกล่าว บริษัทจะจัดให้มีมาตรการการคุ้มครองและรักษาความปลอดภัยที่เหมาะสม และจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทจะดำเนินการตามมาตรการเพื่อทำให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอหรือเป็นไปตามเงื่อนไขตามที่กฎหมายกำหนดอื่นๆ
- 6.3 บริษัทอาจเก็บข้อมูลส่วนบุคคลของท่านบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชั่นของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของของท่าน ทั้งนี้ บริษัทจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคล และจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม
7. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
- 7.1 บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของท่านในระยะเวลาเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่บริษัทดำเนินความสัมพันธ์กับท่านและแนวปฏิบัติต่อข้อมูลส่วนบุคคลแต่ละประเภท โดยปกติบริษัทจะเก็บข้อมูลส่วนบุคคลของท่านเป็นระยะเวลาไม่เกิน 10 ปีนับแต่วันที่ลูกค้ายุติความสัมพันธ์
- 7.2 เมื่อพ้นระยะเวลาที่ระบุไว้ข้างต้นหรือเมื่อหมดความจำเป็นที่จะต้องเก็บรักษาข้อมูลส่วนบุคคลของท่าน บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้โดยทันที ทั้งนี้ บริษัท อาจเก็บรักษาข้อมูลส่วนบุคคลของท่านทั้งหมดหรือบางส่วนเกินกว่าระยะเวลาที่ระบุไว้ข้างต้น เพื่อการปฏิบัติตามกฎหมายหรือคำสั่งโดยชอบด้วยกฎหมาย
- 7.3 บริษัท ได้จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาในการเก็บรักษาหรือหมดความจำเป็นในการประมวลผลข้อมูลนั้น
8. การประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม
บริษัทมีสิทธิในการประมวลผลข้อมูลส่วนบุคคลของท่านที่บริษัทได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับต่อไปตามวัตถุประสงค์เดิม หากท่านไม่ประสงค์ที่จะให้บริษัท ดำเนินการประมวลผลข้อมูลส่วนบุคคลดังกล่าวต่อไป ท่านสามารถขอถอนความยินยอมของท่านเมื่อใดก็ได้ โดยเงื่อนไขของการถอนความยินยอมเป็นไปตามข้อ 10.2
9. มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.1 Tบริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งมาตรการป้องกันด้านการบริหารจัดการ (administrative measure) มาตรการป้องกันด้านเทคนิค (technical measure) และมาตรการป้องกันทางกายภาพ (physical measure) เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพพร้อมใช้งานของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูลส่วนบุคคลจากผู้ที่ไม่มีสิทธิหรือหน้าที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้น
- 9.2 บริษัทได้มีการบังคับใช้มาตรการรักษาความมั่นคงปลอดภัยภายในบริษัท อย่างเข้มงวด โดยใช้เทคโนโลยีและขั้นตอนการรักษาความมั่นคงปลอดภัย เช่น การจัดให้มีมาตรการควบคุมการเข้าถึงและใช้งานข้อมูลส่วนบุคคล โดยกำหนดสิทธิการเข้าถึงข้อมูล สิทธิในการอนุญาตให้ผู้ที่ได้รับมอบหมายให้เข้าถึงข้อมูลได้ รวมทั้งการจัดให้มีมาตรการสำหรับการตรวจสอบย้อนหลัง เพื่อให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลของท่านและบุคคลเหล่านี้ได้รับการฝึกอบรมและมีความตระหนักรู้เกี่ยวกับความสำคัญของการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.3 บริษัทจะจัดให้มีการทบทวนมาตรการดังกล่าว รวมทั้งปรับปรุงและพัฒนามาตรการดังกล่าว เมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้การรักษาความมั่นคงปลอดภัยข้อมูลเป็นไปอย่างมีประสิทธิภาพ
10. สิทธิของเจ้าของข้อมูลส่วนบุคคลและการใช้สิทธิในการดำเนินการดังกล่าว
- 10.1 ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่ระบุ ดังต่อไปนี้
| สิทธิของเจ้าของ ข้อมูลส่วนบุคคล | รายละเอียด |
|---|---|
| สิทธิในการเพิกถอน ความยินยอม (Right to withdraw consent) |
|
| สิทธิในการขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูล (Right to access and retrieve a copy of data) |
|
| สิทธิในการขอให้โอนย้ายข้อมูล (Right to data portability) |
|
| สิทธิในการคัดค้าน การประมวลผลข้อมูล (Right to object to Data Processing) |
|
| สิทธิขอให้ลบหรือทำลายข้อมูล (Right to erasure/Right to be forgotten) | ท่านมีสิทธิขอให้บริษัทดำเนินการลบ ทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ในกรณีต่อไปนี้
|
| สิทธิขอให้ระงับการประมวลผลข้อมูล (Right to restriction of Data Processing) | ท่านมีสิทธิขอให้บริษัทระงับการประมวลผลข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
|
| สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง (Right to rectification) | ท่านมีสิทธิขอให้มีบริษัทดำเนินการแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน ครบถ้วนสมบูรณ์ หรือไม่ก่อให้เกิดความเข้าใจผิด |
| สิทธิในการร้องเรียน (Right to lodge a complaint) | ท่านมีสิทธิร้องเรียนมายังบริษัทหรือหน่วยงานที่มีอำนาจตามกฎหมาย หากท่านเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของท่าน เป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล |
- 10.2 ท่านอาจใช้สิทธิข้างต้นของท่านได้ตลอดเวลา โดยติดต่อผ่านช่องทางการติดต่อตามข้อ 14. เพื่อดำเนินการแจ้งขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- 10.3 การใช้สิทธิดังกล่าวของท่านอาจถูกจำกัดภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้อง และอาจมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฎิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิของท่านได้ ในกรณีนี้บริษัทจะแจ้งเหตุผลของการปฎิเสธพร้อมกับคำตอบสนองต่อคำขอใช้สิทธิดังกล่าว
11. การถอนความยินยอมและผลกระทบที่เป็นไปได้จากการถอนความยินยอม
- 11.1 ในกรณีที่บริษัทประมวลผลข้อมูลส่วนบุคคลโดยอาศัยความยินยอม ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมที่ให้ไว้กับบริษัทได้ตลอดเวลา ทั้งนี้ การถอนความยินยอมนี้จะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมไปแล้วโดยชอบ
- 11.2 หากท่านถอนความยินยอมที่ได้ให้ไว้กับบริษัทหรือไม่ยินยอมที่จะให้ข้อมูลกับบริษัท ไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลให้บริษัทไม่สามารถดำเนินการเพื่อบรรลุวัตถุประสงค์ทั้งหมดหรือบางส่วนตามที่กำหนดไว้ในนโยบายฉบับนี้ได้
12. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ
- 12.1 หากท่านเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และต้องการให้ความยินยอมกับ บริษัทในการประมวลผลข้อมูลส่วนบุคคล ท่านจำเป็นต้องดำเนินการเพื่อให้ได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ก่อนที่จะให้ความยินยอมกับบริษัท
- 12.2 ในกรณีที่บริษัทต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ แต่บริษัทไม่ทราบในขณะประมวลผลถึงข้อเท็จจริงดังกล่าว และต่อมาบริษัทได้ทราบถึงข้อเท็จจริงนั้นในภายหลังว่าบริษัทได้ประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมข้างต้น บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้โดยทันที เว้นแต่เป็นกรณีที่บริษัทสามารถประมวลผลข้อมูลส่วนบุคคลดังกล่าวได้โดยอาศัยฐานทางกฎหมายอื่นและไม่ต้องขอความยินยอม
13. การแก้ไขเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
บริษัทอาจมีการปรับปรุงแก้ไขเพิ่มเติมนโยบายความเป็นส่วนตัวได้ตามความเหมาะสมและสถานการณ์ที่เปลี่ยนแปลงไป โดยหากเป็นการเปลี่ยนแปลงในสาระสำคัญของนโยบายฉบับนี้ บริษัทจะแจ้งการปรับปรุงแก้ไขเพิ่มเติมนโยบายให้ท่านทราบ และขอให้ท่านตรวจสอบนโยบายฉบับนี้เป็นประจำ
14. ช่องทางการติดต่อ
หากท่านมีข้อสงสัยเกี่ยวกับเนื้อหาในนโยบายความเป็นส่วนตัวฉบับนี้ หรือต้องการข้อมูลเพิ่มเติมเกี่ยวกับแนวปฏิบัติของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือมีความประสงค์ต้องการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล กรุณาติดต่อผ่านช่องทางการติดต่อดังนี้
ติดต่อบริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
สถานที่ติดต่อ: บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) 99/1 หมู่ 4 ตำบลแคราย อำเภอกระทุ่มแบน จังหวัดสมุทรสาคร 74110
อีเมล: DPO@nrinstant.com
หมายเลขโทรศัพท์: 034849576-80
15. กฎหมายที่ใช้บังคับ
ท่านตกลงและรับทราบว่านโยบายฉบับนี้อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาชี้ขาดข้อพิพาทใด ๆ ที่อาจเกิดขึ้นจากนโยบายฉบับนี้
นโยบายฉบับนี้ได้รับการอนุมัติจากคณะกรรมการบริษัท ในการประชุมครั้งที่ 9/2568 เมื่อวันที่ 15 พฤษภาคม 2568 ทั้งนี้ให้มีผลบังคับใช้ตั้งแต่วันที่ 16 พฤษภาคม 2568 เป็นต้นไป
สำหรับพนักงาน นักศึกษาฝึกงานและผู้สมัครงาน
บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) ซึ่งต่อไปนี้จะเรียกว่า "บริษัท" ให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลของพนักงาน นักศึกษาฝึกงาน และผู้สมัครงาน (“ท่าน”) เพื่อให้การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อแจ้งข้อมูลให้ท่านทราบเกี่ยวกับ สิทธิ หน้าที่ ตลอดจนเงื่อนไขต่าง ๆ ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท
1. คำนิยาม
| คำศัพท์ | คำนิยาม |
|---|---|
| กฎหมายคุ้มครองข้อมูลส่วนบุคคล | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงฉบับแก้ไขเพิ่มเติม กฎหมาย กฎหมายลำดับรอง กฎ ระเบียบ ประกาศ หรือคำสั่ง ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล |
| ข้อมูลส่วนบุคคล | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| ข้อมูลส่วนบุคคลอ่อนไหว | ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
| เจ้าของข้อมูลส่วนบุคคล | บุคคลธรรมดาซึ่งถูกทำให้ระบุตัวตนได้ด้วยข้อมูลส่วนบุคคล ไม่ว่าโดยทางตรงหรือทางอ้อม |
| การประมวลผล/ประมวลผล | การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย |
| นโยบาย | นโยบายความเป็นส่วนตัว บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) สำหรับพนักงาน นักศึกษาฝึกงานและผู้สมัครงาน |
| ผู้สมัครงาน | บุคคลที่มีสัญชาติไทยหรือชาวต่างชาติที่ยื่นสมัครงานเพื่อเป็นพนักงานประจำ พนักงานชั่วคราว หรือนักศึกษาฝึกงาน ที่ทำงานให้แก่บริษัท แล้วแต่กรณี ไม่ว่าการสมัครงานนั้นจะดำเนินการโดยผู้สมัครเอง หรือเป็นการรับสมัครงานภายในบริษัทหรือผ่านการแนะนำของบุคคลอื่นใดหรือผ่านการดำเนินการของผู้ให้บริการจัดหางาน |
| พนักงาน | ผู้สมัครงานที่ได้รับการคัดเลือกให้เข้าทำสัญญาเพื่อทำงานให้แก่บริษัท ในฐานะพนักงานประจำ พนักงานชั่วคราว (Temporary) หรือพนักงานในช่วงทดลองงาน (Probation) หรือนักศึกษาฝึกงาน และได้รับค่าจ้างคำนวณในอัตรารายเดือน รายวัน รายชั่วโมง หรือตามผลงานโดยคำนวณเป็นหน่วย หรือคำนวณเป็นอย่างอื่น หรือที่มีการตกลงกันเป็นอย่างอื่นระหว่างบริษัทและพนักงานดังกล่าว |
2. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
ในการเก็บรวบรวมและเก็บรักษาข้อมูลส่วนบุคคลบริษัท จะใช้วิธีการที่ชอบด้วยกฎหมายและจำกัดเพียงเท่าที่จำเป็นตามวัดถุประสงค์การดำเนินงานของบริษัท ดังต่อไปนี้
| ประเภท | ตัวอย่างข้อมูลส่วนบุคคล |
|---|---|
| ข้อมูลที่ใช้ระบุตัวตนและคุณลักษณะบุคคล | ชื่อ นามสกุล เพศ สัญชาติ วันเดือนปีเกิด อายุ เลขประจำตัวประชาชน เลขประจำตัวคนต่างด้าว เลขประจำตัวผู้เสียภาษีอากร ลายมือชื่อ รูปถ่าย สถานภาพสมรส ชื่อ-นามสกุลของบิดามารดา |
| ข้อมูลสำหรับการติดต่อ | ที่อยู่ หมายเลขโทรศัพท์ อีเมล ชื่อบริษัท |
| ข้อมูลเกี่ยวกับการศึกษาและการทำงาน | ประวัติการศึกษา ระดับการศึกษา วุฒิการศึกษา ประวัติการฝึกอบรม รหัสพนักงาน ตำแหน่งงาน แผนก อายุงาน วันที่และเวลาเข้า-ออกงาน วันที่เริ่มงาน คะแนนผลการทำงาน สถิติการมาทำงาน สาเหตุการลาออก |
| ข้อมูลทางการเงิน | อัตราค่าจ้าง เงินเดือน หมายเลขบัญชีธนาคาร |
| ข้อมูลที่ใช้ประกอบเป็นหลักฐานในการทำนิติกรรมต่าง ๆ | สำเนาบัตรประจำตัวประชาชน สำเนาบัญชีธนาคาร เลขทะเบียนรถยนต์ สำเนาหนังสือเดินทาง เอกสารวีซ่า ใบอนุญาตทำงาน (Work Permit) บัตรประจำตัวคนไม่มีสัญชาติไทย (บัตรชมพู) ใบเสร็จการแจ้งเข้าทำงานของคนต่างด้าว สำเนาบัตรประจำคนผู้พิการ |
| ข้อมูลทางเทคนิค | IP Address Mac Address |
| ข้อมูลส่วนบุคคลอ่อนไหว | ส่วนสูง น้ำหนัก ข้อมูลบาดแผล ข้อมูลโรค ข้อมูลทางการแพทย์ ใบรับรองแพทย์ ผลการตรวจสุขภาพ โรคประจำตัว ข้อมูลความพิการ ประวัติอาชญากรรม พฤติกรรมทางเพศ ลายนิ้วมือ |
| ข้อมูลอื่นๆ |
|
โดยทั่วไปแล้ว บริษัทไม่มีความประสงค์ในการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว เช่น ข้อมูลศาสนาและหมู่โลหิตที่ปรากฏอยู่บนหน้าบัตรประจำตัวประชาชนของท่าน หากท่านมอบสำเนาบัตรประชาชนให้แก่บริษัทซึ่งปรากฎข้อมูลดังกล่าว บริษัทขอให้ท่านปกปิดข้อมูลดังกล่าวก่อนส่งมอบให้กับบริษัท หากท่านมิได้ปกปิดข้อมูลข้างต้น ถือว่าท่านยินยอมให้บริษัทดำเนินการปกปิดข้อมูลเหล่านั้น
3. แหล่งที่มาของข้อมูลส่วนบุคคล
บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากแหล่งต่าง ๆ ดังต่อไปนี้
| ประเภท | ตัวอย่างแหล่งข้อมูลส่วนบุคคลที่เก็บรวบรวม |
|---|---|
| ข้อมูลส่วนบุคคลที่ได้รับจากท่านโดยตรง |
|
| ข้อมูลส่วนบุคคลที่ได้รับโดยอัตโนมัติ |
|
| ข้อมูลส่วนบุคคลที่ได้รับจากแหล่งอื่นหรือบุคคลที่สาม |
|
ในกรณีที่ท่านตกลงและยินยอมให้ข้อมูลส่วนบุคคลใด ๆ ที่เกี่ยวข้องกับบุคคลภายนอกให้แก่บริษัท ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดเกี่ยวกับนโยบายให้บุคคลเหล่านั้นทราบอย่างครบถ้วน รวมทั้งขอความยินยอมจากบุคคลภายนอก และท่านมีหน้าที่รับรองและรับประกันความถูกต้องของข้อมูลส่วนบุคคลนั้น
4. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
บริษัทจะประมวลผลข้อมูลส่วนบุคคลของท่าน เพื่อวัตถุประสงค์ต่าง ๆ โดนอาศัยฐานทางกฎหมาย ดังต่อไปนี้
| ลำดับ | ฐานทางกฎหมาย | การใช้ข้อมูลส่วนบุคคล |
|---|---|---|
| 1 | การปฏิบัติตามสัญญา (Performance of Contract) | เป็นการจำเป็นเพื่อปฏิบัติตามสัญญา ซึ่งท่านเป็นคู่สัญญากับบริษัท รวมทั้งเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญา |
| 2 | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) | เป็นการดำเนินงานที่จำเป็นของบริษัทภายใต้ประโยชน์โดยชอบตามกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผล และไม่ละเมิดต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลเกินควร |
| 3 | การปฏิบัติตามกฎหมาย (Legal Obligation) | เป็นการปฏิบัติตามกฎหมาย กฎระเบียบ หรือคำสั่งของหน่วยงานรัฐที่ทำหน้าที่ในการกำกับดูแลบริษัท |
| 4 | ประโยชน์สำคัญต่อชีวิต (Vital Interest) | เป็นการดำเนินงานเพื่อปกป้องประโยชน์สำคัญของเจ้าของข้อมูลส่วนบุคคล เช่น การปกป้องอันตรายต่อชีวิต ร่างกาย และสุขภาพ ของเจ้าของข้อมูลส่วนบุคคล |
| 5 | ความยินยอม (Consent) | ในกรณีที่บริษัทมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลอ่อนไหวซึ่งไม่สามารถอาศัยฐานทางกฎหมายตามที่ระบุไว้ข้างต้น บริษัทจะแจ้งและขอความยินยอมเป็นการเฉพาะจากท่าน |
กรณีที่ท่านเป็นผู้สมัครงาน บริษัทจะดำเนินการประมวลผลข้อมูลส่วนบุคคลของท่าน โดยอาศัยฐานทางกฎหมายต่าง ๆ เพื่อวัตถุประสงค์ดังนี้
| ลำดับ | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| 1 | เพื่อดำเนินการที่จำเป็นในการพิจารณาคัดเลือกผู้สมัครงาน ประเมินความเหมาะสมกับตำแหน่งงานที่บริษัทต้องการ เพื่อรับเข้าทำงานเป็นพนักงานของบริษัทโดยหมายรวมถึง การรับสมัครงาน การทดสอบ การสัมภาษณ์ การประเมิน ตลอดจนการเสนอการจ้างงานให้แก่ท่าน | การปฏิบัติตามสัญญา (Performance of Contract) |
| 2 | เพื่อตรวจสอบประวัติและคุณสมบัติก่อนการจ้างงาน รวมถึงการตรวจสอบข้อมูลที่จำเป็น เพื่อประกอบการพิจารณารับเข้าทำงานกับบริษัท และการทำสัญญาจ้างงาน | การปฏิบัติตามสัญญา (Performance of Contract) |
| 3 | เพื่อการบริหารจัดการภายในของบริษัทที่เกี่ยวข้องกับกระบวนการสรรหาบุคคลเข้าทำงาน เช่น การส่งข้อมูลของท่านหรือรายงานให้ผู้ที่มีอำนาจตัดสินใจคัดเลือก กระบวนการภายในเพื่อทำสัญญาจ้าง รวมถึงกระบวนการอื่นที่จำเป็นต้องจัดเตรียมสำหรับพนักงานใหม่ | การปฏิบัติตามสัญญา (Performance of Contract) |
| 4 | เพื่อดูแลรักษาความปลอดภัยของชีวิต ร่างกาย สุขภาพและทรัพย์สินของท่านภายในและบริเวณโดยรอบของบริษัท เช่น การสอดส่องดูแลด้วยกล้องวงจรปิด (CCTV) |
|
กรณีที่ท่านเป็นพนักงาน บริษัทจะดำเนินการประมวลผลข้อมูลส่วนบุคคลของท่าน โดยอาศัยฐานทางกฎหมายต่าง ๆ เพื่อวัตถุประสงค์ดังนี้
| ลำดับ | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| 1 | เพื่อดำเนินการเข้าทำสัญญาจ้างแรงงานตามคำขอของท่าน หรือเพื่อปฏิบัติตามสัญญาโดยที่ท่านเป็นคู่สัญญากับบริษัท เช่น การจัดทำสัญญา ข้อตกลงการจ้างงาน การปฏิบัติตามกฎของบริษัท จัดฝึกอบรมทั้งภายในและภายนอกบริษัท ประเมินผลการทำงาน การพิจารณาค่าตอบแทนและสวัสดิการ เป็นต้น |
|
| 2 | เพื่อขึ้นทะเบียนพนักงาน การจัดเตรียมบัตรพนักงาน การจัดทำประวัติพนักงาน รวมไปทั้งการบริหารจัดการด้านเทคโนโลยีสารสนเทศ เช่น การสร้าง username และ password และสร้างอีเมล และการเตรียมอุปกรณ์ที่จำเป็น เช่น เครื่องคอมพิวเตอร์ และอื่นๆ เพื่อเตรียมความพร้อมสำหรับการปฏิบัติงานของท่าน |
|
| 3 | เพื่อจัดทำหรือต่ออายุวีซ่า ใบอนุญาตทำงาน การขอต่อใบอนุญาตที่เกี่ยวกับการทำงานของท่าน การขอทำบัตรสีชมพู การเก็บข้อมูลใบอนุญาต การดำเนินการทำเล่มเอกสารรับรองบุคคล (Certificate of Identity) และเอกสารเกี่ยวกับการทำงานอื่นๆที่เกี่ยวข้องตามกฎหมาย | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 4 | เพื่อเก็บบันทึกข้อมูลเกี่ยวกับข้อมูลโรค ผลการตรวจสุขภาพก่อนเริ่มงาน เพื่อพิจารณาความเหมาะสมในการทำงาน |
|
| 5 | เพื่อตรวจสอบประวัติอาชญากรรม เพื่อพิจารณาคุณสมบัติและความเหมาะสมในการปฏิบัติงาน (เฉพาะบางตำแหน่ง) | ความยินยอม (Consent) |
| 6 | เพื่อเก็บข้อมูลเกี่ยวกับความพิการ การคุ้มครองแรงงานสำหรับผู้พิการ การประเมินผลการทำงานผู้พิการและยื่นผลการประเมินการทำงาน | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 7 | เพื่อเก็บข้อมูลจำลองลายนิ้วมือ เพื่อบันทึกการเข้า-ออก พื้นที่เฉพาะของบริษัทและยืนยันตัวตน การรักษาความปลอดภัยภายในบริษัทและการป้องกันอาชญากรรม | ความยินยอม (Consent) |
| 8 | เพื่อการบริหารจัดการด้านประกันสังคม เช่น การแจ้งขึ้นทะเบียนผู้ประกันตน การแจ้งสิ้นสุดประกันตน การบริหารกองทุนสำรองเลี้ยงชีพ รวมทั้งการบริหารจัดการด้านภาษีอากรของท่าน เช่น เอกสารประกอบการบันทึกบัญชี อย่าง ใบเบิกเงินสดย่อย ใบกำกับภาษี และเอกสารเกี่ยวกับการลดหย่อนภาษี | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 9 | เพื่อการบริหารจัดการเรื่องเงินเดือน ค่าตอบแทน ค่าจ้าง โบนัส ค่าล่วงเวลา ค่าที่พัก ค่าเดินทาง รวมถึงผลประโยชน์ต่าง ๆ ให้กับท่าน รวมทั้งการพิจารณาเกี่ยวกับค่าตอบแทนที่เกี่ยวข้อง เช่น การลางาน การบันทึกโอที การตรวจสอบเวลาเข้า-ออกงาน โดยการลงบันทึกเวลาเข้า-ออกหรือข้อมูลการสแกนลายนิ้วมือ |
|
| 10 | เพื่อจัดให้มีสวัสดิการที่เหมาะสมกับท่านเช่น ประกันสุขภาพ บัตรทางด่วน บัตรเติมน้ำมัน การจัดให้มีการตรวจสุขภาพประจำปี การตรวจสุขภาพสำหรับกลุ่มเสี่ยง การรักษาพยาบาล การกู้ยืมเงินเพื่อที่อยู่อาศัย รวมถึงสวัสดิการสำหรับพนักงานที่เป็นคนต่างด้าว เช่น การเปิดบัญชีธนาคารสำหรับคนต่างด้าว |
|
| 11 | เพื่อแต่งตั้งบุคลากรด้านความปลอดภัยในการทำงาน เช่น เจ้าหน้าที่ความปลอดภัยในการทำงานวิชาชีพ, เจ้าหน้าที่ความปลอดภัยในการทำงานระดับบริหาร, เจ้าหน้าที่ความปลอดภัยในการทำงานระดับหัวหน้างาน, คณะกรรมการด้านความปลอดภัย, หน่วยงานด้านความปลอดภัย | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 12 | เพื่อจัดกิจกรรมอบรม การสัมมนา การประชุม เพื่อพัฒนาบุคลากรของบริษัท รวมถึงการจัดกิจกรรมนอกสถานที่ เช่น กิจกรรมเพื่อสังคมของบริษัท (CSR) กิจกรรมสันทนาการ | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 13 | การถ่ายภาพนิ่งหรือภาพเคลื่อนไหวของกิจกรรมต่าง ๆ การถ่ายภาพพิธีการ การถ่ายภาพบรรยากาศ การถ่ายภาพกิจกรรมต่าง ๆ ทั้งภายในและภายนอกบริษัท รวมถึงการถ่ายภาพแบบเจาะจงบุคคล |
|
| 14 | เพื่อติดต่อหน่วยงานราชการ การมอบอำนาจ ดำเนินการต่าง ๆ ที่เกี่ยวข้องกับแรงงาน การนำข้อมูลเข้าระบบราชการ เช่น การยื่นรับรองระบบบริการภาครัฐผ่านระบบอิเล็กทรอนิกส์กรมพัฒนาฝีมือแรงงาน กระทรวงแรงงาน |
|
| 15 | เพื่อประเมินผลการทำงานของพนักงานทดลองงานเพื่อบรรจุเป็นพนักงานประจำ ประเมินผลการทำงานของนักศึกษาฝึกงาน เพื่อพิจารณาปรับตำแหน่ง ผลตอบแทนและพิจารณาเรื่องสวัสดิการพิเศษอื่นๆ |
|
| 16 | เพื่อการรับรองความปลอดภัยในกระบวนการผลิต การบริหารจัดการด้านมาตรการป้องกันและบรรเทาอุบัติเหตุและอุบัติภัย การบริหารจัดการด้านอื่นๆ ซึ่งเกี่ยวข้องกับเหตุฉุกเฉินหรือเหตุอันตรายต่อชีวิตหรือร่างกายของพนักงาน | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 17 | เพื่อการบริหารจัดการด้านเทคโนโลยีสารสนเทศ เช่น การสร้างบัญชีผู้ใช้งาน การสำรองข้อมูล การบันทึกข้อมูลการเข้าใช้งาน ข้อมูลการจราจรบนระบบเทคโนโลยีสารสนเทศของบริษัท |
|
| 18 | เพื่อป้องกันและระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่าน เช่น การติดต่อในกรณีฉุกเฉิน การนำส่งโรงพยาบาล การบันทึกประวัติการเดินทาง การดำเนินการตามมาตรการควบคุมโรคติดต่อ |
|
| 19 | เพื่อการบริหารความเสี่ยง การควบคุมภายในองค์กร การบริหารจัดการภายในบริษัทและบริษัทในเครือ การกำกับดูแลกิจการที่ดี การตรวจสอบจากภายในและจากภายนอก รวมทั้งการประสานงานกับผู้ให้บริการด้านการกำกับตรวจสอบบริษัทและบริษัทในเครือ |
|
| 20 | เพื่อดูแลรักษาความปลอดภัยของชีวิต ร่างกาย สุขภาพและทรัพย์สินของท่านภายในและบริเวณโดยรอบของบริษัท เช่น การสอดส่องดูแลด้วยกล้องวงจรปิด (CCTV) |
|
| 21 | เพื่อการก่อตั้งสิทธิเรียกร้องทางกฎหมาย การปฏิบัติหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือการยกขึ้นสู้ซึ่งสิทธิเรียกร้องตามกฎหมาย ซึ่งรวมถึงแต่ไม่จำกัดเพียงการดำเนินคดี การบังคับคดี หรือการดำเนินการใด ๆ ตามกระบวนการทางกฎหมาย | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 22 | เพื่อปฏิบัติตามกฎหมาย กฎระเบียบ ข้อบังคับ ทั้งในประเทศและต่างประเทศที่ใช้บังคับ และเพื่อปฏิบัติตามคำสั่งของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายหรือเจ้าพนักงานที่มีอำนาจหน้าที่ตามกฎหมาย | การปฏิบัติตามกฎหมาย (Legal Obligation) |
5. การเปิดเผยข้อมูลส่วนบุคคล
- 5.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านไปยังบุคคลภายในและภายนอกบริษัท ดังต่อไปนี้
หน่วยงานภายในบริษัทและบริษัทในเครือ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ บุคลากรของบริษัท หน่วยงานภายในบริษัท โดยหมายรวมถึง ผู้บริหาร หัวหน้างาน พนักงาน อย่างไรก็ดี บริษัทจะจำกัดแค่เฉพาะผู้ที่เกี่ยวข้องและมีความจำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลเท่านั้น
พันธมิตรทางธุรกิจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่พันธมิตรทางธุรกิจในเชิงการบริหารจัดการในเชิงการปฏิบัติงานของบริษัท ซึ่งรวมไปถึง ตัวแทน ผู้รับมอบอำนาจ ขององค์กรนั้นด้วย เช่น ธนาคาร สถาบันการเงิน บริษัทประกันภัย สถานพยาบาล เป็นต้น
ผู้ให้บริการ บริษัทอาจว่าจ้างผู้ให้บริการภายนอก (Outsource) เป็นผู้ให้บริการแทนหรือสนับสนุนการดำเนินธุรกิจของบริษัทและการให้บริการแก่ลูกค้า ซึ่งรวมไปถึง ตัวแทน ผู้รับจ้าง ผู้รับจ้างช่วง ของผู้ให้บริการนั้นด้วย เช่น ผู้ให้บริการจัดการเว็บไซต์และสื่อสารสนเทศ ผู้ให้บริการเกี่ยวกับการจัดกิจกรรม
ที่ปรึกษาวิชาชีพ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ ผู้ตรวจสอบบัญชี ผู้ตรวจสอบการบริหารงานของบริษัท ที่ปรึกษาในด้านต่าง ๆ ผู้ให้บริการทางวิชาชีพและผู้เชี่ยวชาญอื่นใดทั้งภายในและภายนอกบริษัท เพื่อสนับสนุนการดำเนินธุรกิจของบริษัท
หน่วยงานรัฐที่มีอำนาจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านหน่วยงานราชการ หน่วยงานที่ทำหน้าที่กำกับดูแลบริษัท หรือหน่วยงานอื่นที่มีอำนาจหน้าที่ตามที่กฎหมายกำหนด เพื่อการปฏิบัติตามกฎหมาย เช่น สำนักงานประกันสังคม กรมจัดหางาน กรมพัฒนาฝีมือแรงงาน สำนักงานพัฒนาสังคมและความมั่นคงของมนุษย์ กรมสรรพากร สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ศาล รวมทั้งเจ้าหน้าที่รัฐที่มีอำนาจในการเข้าถึงข้อมูลส่วนบุคคล เช่น เจ้าหน้าที่ตำรวจ อัยการ
- 5.2 บริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลส่วนบุคคลของท่านอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และจะดำเนินการเพื่อป้องกันไม่ให้มีการประมวลผลข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงจะดำเนินการภายใต้วัตถุประสงค์ที่กำหนดในนโยบายฉบับนี้หรือวัตถุประสงค์อื่นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้กระทำได้เท่านั้น โดยในกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ต้องขอความยินยอมจากท่าน บริษัทจะแจ้งและขอความยินยอมจากท่านเป็นการเฉพาะ
6. การส่งต่อหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
- 6.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ ทั้งนี้ หากมีความจำเป็นที่บริษัทจะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ บริษัทจะแจ้งและขอความยินยอมโดยชัดแจ้งจากท่านสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเป็นการเฉพาะ
- 6.2 ในการส่งต่อหรือโอนข้อมูลดังกล่าว บริษัทจะจัดให้มีมาตรการการคุ้มครองและรักษาความปลอดภัยที่เหมาะสม และจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทจะดำเนินการตามมาตรการเพื่อทำให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอหรือเป็นไปตามเงื่อนไขตามที่กฎหมายกำหนดอื่นๆ
- 6.3 บริษัทอาจเก็บข้อมูลส่วนบุคคลของท่านบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชั่นของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของของท่าน ทั้งนี้ บริษัทจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคล และจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม
7. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
- 7.1 บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของท่านในระยะเวลาเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่บริษัทดำเนินความสัมพันธ์กับท่านและแนวปฏิบัติต่อข้อมูลส่วนบุคคลแต่ละประเภท โดยปกติบริษัทจะเก็บข้อมูลส่วนบุคคลของท่านตามระยะเวลาดังรายละเอียดต่อไปนี้
| เจ้าของข้อมูลส่วนบุคคล | ระยะเวลาในการจัดเก็บ |
|---|---|
| ผู้สมัครงานที่ไม่ถูกคัดเลือกให้เข้าร่วมทำงานกับ บริษัท ไม่ว่าด้วยเหตุผลใด เช่น บริษัทปฎิเสธไม่รับท่านเข้าทำงาน หรือท่านปฎิเสธที่จะเข้าทำงานกับบริษัท | ไม่เกิน 6 เดือน นับแต่วันสัมภาษณ์งาน |
| พนักงานที่เป็นนักศึกษาฝึกงาน | ไม่เกิน 5 ปี นับแต่การฝึกงานได้สิ้นสุดลง |
| พนักงานที่ไม่ใช่นักศึกษาฝึกงาน และได้รับค่าจ้างในอัตรารายเดือน | ตลอดระยะเวลาที่ท่านเป็นพนักงานของบริษัท และจะเก็บต่อไปอีกเป็นระยะเวลาไม่เกิน 10 ปีนับแต่สิ้นสุดสภาพการเป็นพนักงาน |
| พนักงานที่ไม่ใช่นักศึกษาฝึกงาน และได้รับค่าจ้างในอัตรารายวัน | ตลอดระยะเวลาที่ท่านเป็นพนักงานของบริษัท และจะเก็บต่อไปอีกเป็นระยะเวลาไม่เกิน 2 ปีนับแต่สิ้นสุดสภาพการเป็นพนักงาน |
- 7.2 เมื่อพ้นระยะเวลาที่ระบุไว้ข้างต้นหรือเมื่อหมดความจำเป็นที่จะต้องเก็บรักษาข้อมูลส่วนบุคคลของท่าน บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้โดยทันที ทั้งนี้ บริษัท อาจเก็บรักษาข้อมูลส่วนบุคคลของท่านทั้งหมดหรือบางส่วนเกินกว่าระยะเวลาที่ระบุไว้ข้างต้น เพื่อการปฏิบัติตามกฎหมายหรือคำสั่งโดยชอบด้วยกฎหมาย
- 7.3 บริษัท ได้จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาในการเก็บรักษาหรือหมดความจำเป็นในการประมวลผลข้อมูลนั้น
8. การประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม
บริษัทมีสิทธิในการประมวลผลข้อมูลส่วนบุคคลของท่านที่บริษัทได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับต่อไปตามวัตถุประสงค์เดิม หากท่านไม่ประสงค์ที่จะให้บริษัท ดำเนินการประมวลผลข้อมูลส่วนบุคคลดังกล่าวต่อไป ท่านสามารถขอถอนความยินยอมของท่านเมื่อใดก็ได้ โดยเงื่อนไขของการถอนความยินยอมเป็นไปตามข้อ 10.2
9. มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.1 บริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งมาตรการป้องกันด้านการบริหารจัดการ (administrative measure) มาตรการป้องกันด้านเทคนิค (technical measure) และมาตรการป้องกันทางกายภาพ (physical measure) เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพพร้อมใช้งานของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูลส่วนบุคคลจากผู้ที่ไม่มีสิทธิหรือหน้าที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้น
- 9.2 บริษัทได้มีการบังคับใช้มาตรการรักษาความมั่นคงปลอดภัยภายในบริษัท อย่างเข้มงวด โดยใช้เทคโนโลยีและขั้นตอนการรักษาความมั่นคงปลอดภัย เช่น การจัดให้มีมาตรการควบคุมการเข้าถึงและใช้งานข้อมูลส่วนบุคคล โดยกำหนดสิทธิการเข้าถึงข้อมูล สิทธิในการอนุญาตให้ผู้ที่ได้รับมอบหมายให้เข้าถึงข้อมูลได้ รวมทั้งการจัดให้มีมาตรการสำหรับการตรวจสอบย้อนหลัง เพื่อให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลของท่านและบุคคลเหล่านี้ได้รับการฝึกอบรมและมีความตระหนักรู้เกี่ยวกับความสำคัญของการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.3 บริษัทจะจัดให้มีการทบทวนมาตรการดังกล่าว รวมทั้งปรับปรุงและพัฒนามาตรการดังกล่าว เมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้การรักษาความมั่นคงปลอดภัยข้อมูลเป็นไปอย่างมีประสิทธิภาพ
10. สิทธิของเจ้าของข้อมูลส่วนบุคคลและการใช้สิทธิในการดำเนินการดังกล่าว
- 10.1 ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่ระบุ ดังต่อไปนี้
| สิทธิของเจ้าของ ข้อมูลส่วนบุคคล | รายละเอียด |
|---|---|
| สิทธิในการเพิกถอน ความยินยอม (Right to withdraw consent) |
|
| สิทธิในการขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูล (Right to access and retrieve a copy of data) |
|
| สิทธิในการขอให้โอนย้ายข้อมูล (Right to data portability) |
|
| สิทธิในการคัดค้าน การประมวลผลข้อมูล (Right to object to Data Processing) | ท่านมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล ในกรณีที่บริษัท ประมวลผลข้อมูลส่วนบุคคล
|
| สิทธิขอให้ลบหรือทำลายข้อมูล (Right to erasure/Right to be forgotten) | ท่านมีสิทธิขอให้บริษัทดำเนินการลบ ทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ในกรณีต่อไปนี้
|
| สิทธิขอให้ระงับการ ประมวลผลข้อมูล (Right to restriction of Data Processing) | ท่านมีสิทธิขอให้บริษัทระงับการประมวลผลข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
|
| สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง (Right to rectification) | ท่านมีสิทธิขอให้มีบริษัทดำเนินการแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน ครบถ้วนสมบูรณ์ หรือไม่ก่อให้เกิดความเข้าใจผิด |
| สิทธิในการร้องเรียน (Right to lodge a complaint) | ท่านมีสิทธิร้องเรียนมายังบริษัทหรือหน่วยงานที่มีอำนาจตามกฎหมาย หากท่านเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของท่าน เป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล |
- 10.2 ท่านอาจใช้สิทธิข้างต้นของท่านได้ตลอดเวลา โดยติดต่อผ่านช่องทางการติดต่อตามข้อ 14. เพื่อดำเนินการแจ้งขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- 10.3 การใช้สิทธิดังกล่าวของท่านอาจถูกจำกัดภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้อง และอาจมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฎิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิของท่านได้ ในกรณีนี้บริษัทจะแจ้งเหตุผลของการปฎิเสธพร้อมกับคำตอบสนองต่อคำขอใช้สิทธิดังกล่าว
11. การถอนความยินยอมและผลกระทบที่เป็นไปได้จากการถอนความยินยอม
- 11.1 ในกรณีที่บริษัทประมวลผลข้อมูลส่วนบุคคลโดยอาศัยความยินยอม ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมที่ให้ไว้กับบริษัทได้ตลอดเวลา ทั้งนี้ การถอนความยินยอมนี้จะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมไปแล้วโดยชอบ
- 11.2 หากท่านถอนความยินยอมที่ได้ให้ไว้กับบริษัทหรือไม่ยินยอมที่จะให้ข้อมูลกับบริษัท ไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลให้บริษัทไม่สามารถดำเนินการเพื่อบรรลุวัตถุประสงค์ทั้งหมดหรือบางส่วนตามที่กำหนดไว้ในนโยบายฉบับนี้ได้
12. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ
- 12.1 หากท่านเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และต้องการให้ความยินยอมกับ บริษัทในการประมวลผลข้อมูลส่วนบุคคล ท่านจำเป็นต้องดำเนินการเพื่อให้ได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ก่อนที่จะให้ความยินยอมกับบริษัท
- 12.2 ในกรณีที่บริษัทต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ แต่บริษัทไม่ทราบในขณะประมวลผลถึงข้อเท็จจริงดังกล่าว และต่อมาบริษัทได้ทราบถึงข้อเท็จจริงนั้นในภายหลังว่าบริษัทได้ประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมข้างต้น บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้โดยทันที เว้นแต่เป็นกรณีที่บริษัทสามารถประมวลผลข้อมูลส่วนบุคคลดังกล่าวได้โดยอาศัยฐานทางกฎหมายอื่นและไม่ต้องขอความยินยอม
13. การแก้ไขเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
บริษัทอาจมีการปรับปรุงแก้ไขเพิ่มเติมนโยบายความเป็นส่วนตัวได้ตามความเหมาะสมและสถานการณ์ที่เปลี่ยนแปลงไป โดยหากเป็นการเปลี่ยนแปลงในสาระสำคัญของนโยบายฉบับนี้ บริษัทจะแจ้งการปรับปรุงแก้ไขเพิ่มเติมนโยบายให้ท่านทราบ และขอให้ท่านตรวจสอบนโยบายฉบับนี้เป็นประจำ
14. ช่องทางการติดต่อ
หากท่านมีข้อสงสัยเกี่ยวกับเนื้อหาในนโยบายความเป็นส่วนตัวฉบับนี้ หรือต้องการข้อมูลเพิ่มเติมเกี่ยวกับแนวปฏิบัติของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือมีความประสงค์ต้องการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล กรุณาติดต่อผ่านช่องทางการติดต่อดังนี้
ติดต่อบริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
สถานที่ติดต่อ: บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) 99/1 หมู่ 4 ตำบลแคราย อำเภอกระทุ่มแบน จังหวัดสมุทรสาคร 74110
อีเมล: DPO@nrinstant.com
หมายเลขโทรศัพท์: 034849576-80
15. กฎหมายที่ใช้บังคับ
ท่านตกลงและรับทราบว่านโยบายฉบับนี้อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาชี้ขาดข้อพิพาทใด ๆ ที่อาจเกิดขึ้นจากนโยบายฉบับนี้
นโยบายฉบับนี้ได้รับการอนุมัติจากคณะกรรมการบริษัท ในการประชุมครั้งที่ 9/2568 เมื่อวันที่ 15 พฤษภาคม 2568 ทั้งนี้ให้มีผลบังคับใช้ตั้งแต่วันที่ 16 พฤษภาคม 2568 เป็นต้นไป
สำหรับการบันทึกภาพนิ่ง หรือภาพเคลื่อนไหว
บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) ซึ่งต่อไปนี้จะเรียกว่า "บริษัท" ให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลของผู้ถือหุ้น กรรมการ พนักงาน ผู้ให้สัมภาษณ์/แสดงความคิดเห็น ผู้ที่เข้าร่วมกิจกรรม ผู้ที่ได้รับรางวัล ผู้เข้ามาใช้พื้นที่ ผู้มาติดต่อ ผู้ขอเข้าอาคาร รวมไปถึง ลูกค้า คู่ค้า ผู้ที่คาดว่าเป็นคู่ค้า และตัวแทนของบุคคลดังกล่าว (“ท่าน”) เพื่อให้การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อแจ้งข้อมูลให้ท่านทราบเกี่ยวกับ สิทธิ หน้าที่ ตลอดจนเงื่อนไขต่าง ๆ ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท
1. คำนิยาม
| คำศัพท์ | คำนิยาม |
|---|---|
| กฎหมายคุ้มครองข้อมูลส่วนบุคคล | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงฉบับแก้ไขเพิ่มเติม กฎหมาย กฎหมายลำดับรอง กฎ ระเบียบ ประกาศ หรือคำสั่ง ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล |
| ข้อมูลส่วนบุคคล | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| ข้อมูลส่วนบุคคลอ่อนไหว | ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
| เจ้าของข้อมูลส่วนบุคคล | บุคคลธรรมดาซึ่งถูกทำให้ระบุตัวตนได้ด้วยข้อมูลส่วนบุคคล ไม่ว่าโดยทางตรงหรือทางอ้อม |
| การประมวลผล/ประมวลผล | การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย |
| นโยบาย | นโยบายความเป็นส่วนตัว บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) สำหรับการบันทึกภาพนิ่ง หรือภาพเคลื่อนไหว |
2. ประเภทและแหล่งที่มาของข้อมูลส่วนบุคคล
- 2.1 บริษัทมีความจำเป็นต้องมีการประมวลผลข้อมูลภาพถ่าย ไม่ว่าจะเป็นภาพนิ่ง ภาพเคลื่อนไหวของท่านซึ่งข้อมูลส่วนบุคคลที่บริษัทประมวลผลอาจเป็นภาพนิ่งหรือภาพเคลื่อนไหวในระหว่างการสัมภาษณ์ การถ่ายภาพบุคคลเฉพาะเจาะจงในขณะเข้าร่วมกิจกรรม (ภาพเดี่ยว) บรรยากาศระหว่างการจัดกิจกรรมหรือการถ่ายภาพรวม (ภาพหมู่) เมื่อเสร็จสิ้นกิจกรรม ซึ่งข้อมูลเหล่านี้จะถูกจัดเก็บในรูปแบบอิเล็กทรอนิกส์บนอุปกรณ์บันทึกข้อมูลของบริษัท ซึ่งในการบันทึกข้อมูลอาจรวมถึงข้อมูลส่วนตัวของเจ้าของข้อมูล เช่น ชื่อ นามสกุล ตำแหน่งของเจ้าของภาพ และข้อมูลกิจกรรม สถานที่ วันที่ เวลา ที่ปรากฏบนภาพ
- 2.2 ในกรณีที่เป็นการบันทึกภาพนิ่งหรือภาพเคลื่อนไหวของท่าน เพื่อวัตถุประสงค์ในเชิงพาณิชย์ และ/หรือเชิงประชาสัมพันธ์ บริษัทจะแจ้งและขอความยินยอมเป็นการเฉพาะจากท่าน เมื่อบริษัทได้ทำการคัดเลือกภาพนิ่งหรือภาพเคลื่อนไหวนั้นไปเปิดเผย เผยแพร่ พร้อมทั้งขออนุญาตระบุชื่อ นามสกุล เพื่อประกอบกับภาพนิ่งหรือภาพเคลื่อนไหวของท่าน เพื่อวัตถุประสงค์ในเชิงพาณิชย์ และ/หรือวัตถุประสงค์ในเชิงประชาสัมพันธ์ในเอกสารที่บริษัทได้ขอความยินยอมจากท่าน
3. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
บริษัทจะประมวลผลข้อมูลส่วนบุคคลของท่าน เพื่อวัตถุประสงค์ต่าง ๆ โดนอาศัยฐานทางกฎหมาย ดังต่อไปนี้
| ลำดับ | ฐานทางกฎหมาย | การใช้ข้อมูลส่วนบุคคล |
|---|---|---|
| 1 | การปฏิบัติตามสัญญา (Performance of Contract) | เป็นการจำเป็นเพื่อปฏิบัติตามสัญญา ซึ่งท่านเป็นคู่สัญญากับบริษัท รวมทั้งเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญา |
| 2 | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) | เป็นการดำเนินงานที่จำเป็นของบริษัทภายใต้ประโยชน์โดยชอบตามกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผล และไม่ละเมิดต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลเกินควร |
| 3 | ความยินยอม (Consent) | ในกรณีที่บริษัทมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลอ่อนไหว ซึ่งไม่สามารถอาศัยฐานทางกฎหมายตามที่ระบุไว้ข้างต้นได้ บริษัทจะแจ้งและขอความยินยอมโดยชัดแจ้งเป็นการเฉพาะจากท่าน |
| ลำดับ | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| 1 | การถ่ายภาพนิ่ง หรือภาพเคลื่อนไหวที่ไม่ใช่ลักษณะการถ่ายภาพเจาะจง เฉพาะบุคคล และการถ่ายภาพบรรยากาศการจัดกิจกรรม (ภาพหมู่) งานนิทรรศการ บรรยากาศระหว่างการจัดกิจกรรม การจัดอบรม การประชุม เพื่อวัตถุประสงค์ในการสื่อสาร และเผยแพร่ผ่านช่องทางสื่อต่าง ๆ ไม่ว่าจะเป็นโซเชียลมีเดียหรือช่องทางการสื่อสารของบริษัท | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 2 | การถ่ายภาพนิ่ง หรือภาพเคลื่อนไหว ในลักษณะเจาะจง หรือเป็นภาพถ่ายหรือภาพเคลื่อนไหวเฉพาะบุคคล หรือการใช้ชื่อ–นามสกุล และผลงาน เพื่อประกอบภาพถ่ายหรือภาพเคลื่อนไหว เพื่อนำไปใช้ในเชิงธุรกิจตามความเหมาะสมและตามวัตถุประสงค์ของบริษัท | ความยินยอม (Consent) |
| 3 | การประมวลผลตามสัญญาอนุญาตให้ใช้ถ่ายภาพนิ่ง หรือภาพเคลื่อนไหว ชื่อ–นามสกุล และผลงาน โดยได้รับสิ่งตอบแทน | การปฏิบัติตามสัญญา (Performance of Contract) |
| 4 | การถ่ายภาพนิ่ง หรือภาพเคลื่อนไหว ในกรณีที่เป็นการบันทึกภาพถ่ายสำคัญ เนื่องจากเป็นผู้โชคดีในการรับรางวัล หรือเป็นผู้ที่ได้รับการคัดเลือกให้เข้ารับรางวัลใด ๆ ในการจัดกิจกรรม | การปฏิบัติตามสัญญา (Performance of Contract) |
| 5 | การถ่ายภาพนิ่ง หรือภาพเคลื่อนไหว เพื่อใช้เป็นหลักฐานประกอบการยืนยันตัวตน และใช้ตรวจสอบภายในบริษัท หรือเพื่อวัตถุประสงค์อื่นซึ่งเป็นประโยชน์โดยชอบของบริษัท | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
4. การเปิดเผยข้อมูลส่วนบุคคล
- 4.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านไปยังบุคคลภายในและภายนอกบริษัท ดังต่อไปนี้
หน่วยงานภายในบริษัท บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ บุคลากรของบริษัท หน่วยงานภายในบริษัท โดยหมายรวมถึง ผู้บริหาร หัวหน้างาน พนักงาน อย่างไรก็ดี บริษัทจะจำกัดแค่เฉพาะผู้ที่เกี่ยวข้องและมีความจำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลเท่านั้น
หน่วยงานรัฐที่มีอำนาจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านหน่วยงานราชการ หน่วยงานที่ทำหน้าที่กำกับดูแลบริษัท หรือหน่วยงานอื่นที่มีอำนาจหน้าที่ตามที่กฎหมายกำหนด เพื่อการปฏิบัติตามกฎหมาย เช่น สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ศาล รวมทั้งเจ้าหน้าที่รัฐที่มีอำนาจในการเข้าถึงข้อมูลส่วนบุคคล เช่น เจ้าหน้าที่ตำรวจ อัยการ
สื่อสาธารณะ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์บนสื่อสาธารณะ ไม่ว่าจะเป็นในรูปแบบสารสนเทศหรือไม่ก็ตาม ซึ่งบุคคลทั่วไปสามารถเข้าถึงได้ ไม่ว่าจะเป็นโซเชียลมีเดียหรือช่องทางการสื่อสารของบริษัท หรือเป็นเว็บไซต์ของหน่วยงานรัฐที่มีอำนาจที่เกี่ยวข้อง
- 4.2 บริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลส่วนบุคคลของท่านอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และจะดำเนินการเพื่อป้องกันไม่ให้มีการประมวลผลข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงจะดำเนินการภายใต้วัตถุประสงค์ที่กำหนดในนโยบายฉบับนี้หรือวัตถุประสงค์อื่นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้กระทำได้เท่านั้น โดยในกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ต้องขอความยินยอมจากท่าน บริษัทจะแจ้งและขอความยินยอมจากท่านเป็นการเฉพาะ
5. การส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
- 5.1 โดยทั่วไปแล้วบริษัทไม่มีความประสงค์ที่จะส่งต่อหรือโอนข้อมูลส่วนบุคคลภาพนิ่งหรือภาพเคลื่อนไหวไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ ทั้งนี้ หากบริษัทมีความจำเป็นต้องส่งหรือโอนข้อมูลดังกล่าว บริษัทจะดำเนินการขอความยินยอมโดยชัดแจ้งจากท่านเป็นการเฉพาะ
- 5.2 ในการส่งต่อหรือโอนข้อมูลดังกล่าว บริษัทจะจัดให้มีมาตรการการคุ้มครองและรักษาความปลอดภัยที่เหมาะสม และจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทจะดำเนินการตามมาตรการเพื่อทำให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอหรือเป็นไปตามเงื่อนไขตามที่กฎหมายกำหนดอื่นๆ
- 5.3 บริษัทอาจเก็บข้อมูลส่วนบุคคลของท่านบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชั่นของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของของท่าน ทั้งนี้ บริษัทจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคล และจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม
6. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
- 6.1 บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของท่านในระยะเวลาเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่บริษัทดำเนินความสัมพันธ์กับท่านและแนวปฏิบัติต่อข้อมูลส่วนบุคคลแต่ละประเภท โดยทั่วไปบริษัทจะเก็บข้อมูลส่วนบุคคลของท่านเป็นระยะเวลาไม่เกิน 10 ปีนับแต่วันที่ดำเนินการจัดเก็บข้อมูล
- 6.2 เมื่อพ้นระยะเวลาที่ระบุไว้ข้างต้นหรือเมื่อหมดความจำเป็นที่จะต้องเก็บรักษาข้อมูลส่วนบุคคลของท่าน บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้โดยทันที ทั้งนี้ บริษัท อาจเก็บรักษาข้อมูลส่วนบุคคลของท่านทั้งหมดหรือบางส่วนเกินกว่าระยะเวลาที่ระบุไว้ข้างต้น เพื่อการปฏิบัติตามกฎหมายหรือคำสั่งโดยชอบด้วยกฎหมาย
- 6.3 บริษัท ได้จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาในการเก็บรักษาหรือหมดความจำเป็นในการประมวลผลข้อมูลนั้น
7. การประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม
บริษัทมีสิทธิในการประมวลผลข้อมูลส่วนบุคคลของท่านที่บริษัท ได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับต่อไปตามวัตถุประสงค์เดิม หากท่านไม่ประสงค์ที่จะให้บริษัท ดำเนินการประมวลผลข้อมูลส่วนบุคคลดังกล่าวต่อไป ท่านสามารถขอถอนความยินยอมของท่านเมื่อใดก็ได้ โดยเงื่อนไขของการถอนความยินยอมเป็นไปตามข้อ 9.2
8. มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 8.1 บริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งมาตรการป้องกันด้านการบริหารจัดการ (administrative measure) มาตรการป้องกันด้านเทคนิค (technical measure) และมาตรการป้องกันทางกายภาพ (physical measure) เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพพร้อมใช้งานของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูลส่วนบุคคลจากผู้ที่ไม่มีสิทธิหรือหน้าที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้น
- 8.2 บริษัทได้มีการบังคับใช้มาตรการรักษาความมั่นคงปลอดภัยภายในบริษัท อย่างเข้มงวด โดยใช้เทคโนโลยีและขั้นตอนการรักษาความมั่นคงปลอดภัย เช่น การจัดให้มีมาตรการควบคุมการเข้าถึงและใช้งานข้อมูลส่วนบุคคล โดยกำหนดสิทธิการเข้าถึงข้อมูล สิทธิในการอนุญาตให้ผู้ที่ได้รับมอบหมายให้เข้าถึงข้อมูลได้ รวมทั้งการจัดให้มีมาตรการสำหรับการตรวจสอบย้อนหลัง เพื่อให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลของท่านและบุคคลเหล่านี้ได้รับการฝึกอบรมและมีความตระหนักรู้เกี่ยวกับความสำคัญของการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 8.3 บริษัทจะจัดให้มีการทบทวนมาตรการดังกล่าว รวมทั้งปรับปรุงและพัฒนามาตรการดังกล่าว เมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้การรักษาความมั่นคงปลอดภัยข้อมูลเป็นไปอย่างมีประสิทธิภาพ
9. สิทธิของเจ้าของข้อมูลส่วนบุคคลและการใช้สิทธิในการดำเนินการดังกล่าว
- 9.1 ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่ระบุ ดังต่อไปนี้
| สิทธิของเจ้าของ ข้อมูลส่วนบุคคล | รายละเอียด |
|---|---|
| สิทธิในการเพิกถอน ความยินยอม (Right to withdraw consent) |
|
| สิทธิในการขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูล (Right to access and retrieve a copy of data) |
|
| สิทธิในการขอให้โอนย้ายข้อมูล (Right to data portability) |
|
| สิทธิในการคัดค้าน การประมวลผลข้อมูล (Right to object to Data Processing) | ท่านมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล ในกรณีที่บริษัท ประมวลผลข้อมูลส่วนบุคคล
|
| สิทธิขอให้ลบหรือทำลายข้อมูล (Right to erasure/Right to be forgotten) | ท่านมีสิทธิขอให้บริษัทดำเนินการลบ ทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ในกรณีต่อไปนี้
|
| สิทธิขอให้ระงับการ ประมวลผลข้อมูล (Right to restriction of Data Processing) | ท่านมีสิทธิขอให้บริษัทระงับการประมวลผลข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
|
| สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง (Right to rectification) | ท่านมีสิทธิขอให้มีบริษัทดำเนินการแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน ครบถ้วนสมบูรณ์ หรือไม่ก่อให้เกิดความเข้าใจผิด |
| สิทธิในการร้องเรียน (Right to lodge a complaint) t | ท่านมีสิทธิร้องเรียนมายังบริษัทหรือหน่วยงานที่มีอำนาจตามกฎหมาย หากท่านเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของท่าน เป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล |
- 9.2 ท่านอาจใช้สิทธิข้างต้นของท่านได้ตลอดเวลา โดยติดต่อผ่านช่องทางการติดต่อตามข้อ 13. เพื่อดำเนินการแจ้งขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- 9.3 การใช้สิทธิดังกล่าวของท่านอาจถูกจำกัดภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้อง และอาจมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฎิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิของท่านได้ ในกรณีนี้บริษัทจะแจ้งเหตุผลของการปฎิเสธพร้อมกับคำตอบสนองต่อคำขอใช้สิทธิดังกล่าว
10. การถอนความยินยอมและผลกระทบที่เป็นไปได้จากการถอนความยินยอม
- 10.1 ในกรณีที่บริษัทประมวลผลข้อมูลส่วนบุคคลโดยอาศัยความยินยอม ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมที่ให้ไว้กับบริษัทได้ตลอดเวลา ทั้งนี้ การถอนความยินยอมนี้จะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมไปแล้วโดยชอบ
- 10.2 หากท่านถอนความยินยอมที่ได้ให้ไว้กับบริษัทหรือไม่ยินยอมที่จะให้ข้อมูลกับบริษัท ไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลให้บริษัทไม่สามารถดำเนินการเพื่อบรรลุวัตถุประสงค์ทั้งหมดหรือบางส่วนตามที่กำหนดไว้ในนโยบายฉบับนี้ได้
11. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ
- 11.1 หากท่านเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และต้องการให้ความยินยอมกับ บริษัทในการประมวลผลข้อมูลส่วนบุคคล ท่านจำเป็นต้องดำเนินการเพื่อให้ได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ก่อนที่จะให้ความยินยอมกับบริษัท
- 11.2 ในกรณีที่บริษัทต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ แต่บริษัทไม่ทราบในขณะประมวลผลถึงข้อเท็จจริงดังกล่าว และต่อมาบริษัทได้ทราบถึงข้อเท็จจริงนั้นในภายหลังว่าบริษัทได้ประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมข้างต้น บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้โดยทันที เว้นแต่เป็นกรณีที่บริษัทสามารถประมวลผลข้อมูลส่วนบุคคลดังกล่าวได้โดยอาศัยฐานทางกฎหมายอื่นและไม่ต้องขอความยินยอม
12. การแก้ไขเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
บริษัทอาจมีการปรับปรุงแก้ไขเพิ่มเติมนโยบายความเป็นส่วนตัวได้ตามความเหมาะสมและสถานการณ์ที่เปลี่ยนแปลงไป โดยหากเป็นการเปลี่ยนแปลงในสาระสำคัญของนโยบายฉบับนี้ บริษัทจะแจ้งการปรับปรุงแก้ไขเพิ่มเติมนโยบายให้ท่านทราบ และขอให้ท่านตรวจสอบนโยบายฉบับนี้เป็นประจำ
13. ช่องทางการติดต่อ
หากท่านมีข้อสงสัยเกี่ยวกับเนื้อหาในนโยบายความเป็นส่วนตัวฉบับนี้ หรือต้องการข้อมูลเพิ่มเติมเกี่ยวกับแนวปฏิบัติของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือมีความประสงค์ต้องการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล กรุณาติดต่อผ่านช่องทางการติดต่อดังนี้
ติดต่อบริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
สถานที่ติดต่อ: บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) 99/1 หมู่ 4 ตำบลแคราย อำเภอกระทุ่มแบน จังหวัดสมุทรสาคร 74110
อีเมล: DPO@nrinstant.com
หมายเลขโทรศัพท์: 034849576-80
14. กฎหมายที่ใช้บังคับ
ท่านตกลงและรับทราบว่านโยบายฉบับนี้อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาชี้ขาดข้อพิพาทใด ๆ ที่อาจเกิดขึ้นจากนโยบายฉบับนี้
นโยบายฉบับนี้ได้รับการอนุมัติจากคณะกรรมการบริษัท ในการประชุมครั้งที่ 9/2568 เมื่อวันที่ 15 พฤษภาคม 2568 ทั้งนี้ให้มีผลบังคับใช้ตั้งแต่วันที่ 16 พฤษภาคม 2568 เป็นต้นไป
สำหรับคู่ค้าทางธุรกิจ
บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) ซึ่งต่อไปนี้จะเรียกว่า "บริษัท" ให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลของคู่ค้า ผู้ที่คาดว่าจะเป็นคู่ค้า และบุคคลธรรมดาที่เกี่ยวข้องหรือเป็นตัวแทนของคู่ค้า และ/หรือผู้ที่คาดว่าจะเป็นคู่ค้าที่กระทำการแทนหรือในนาม อาทิ ผู้บริหาร ผู้ถือหุ้น กรรมการผู้มีอำนาจลงนาม ผู้รับมอบอำนาจ ผู้รับมอบอำนาจช่วง พนักงาน ลูกจ้าง และตัวแทนของนิติบุคคล ที่ได้เข้าร่วมหรือจะเข้าร่วมการทำธุรกรรมกับบริษัท (“ท่าน”) เพื่อให้การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อแจ้งข้อมูลให้ท่านทราบเกี่ยวกับ สิทธิ หน้าที่ ตลอดจนเงื่อนไขต่าง ๆ ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท
1. คำนิยาม
| คำศัพท์ | คำนิยาม |
|---|---|
| กฎหมายคุ้มครองข้อมูลส่วนบุคคล | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงฉบับแก้ไขเพิ่มเติม กฎหมาย กฎหมายลำดับรอง กฎ ระเบียบ ประกาศ หรือคำสั่ง ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล |
| ข้อมูลส่วนบุคคล | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| ข้อมูลส่วนบุคคลอ่อนไหว | ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
| เจ้าของข้อมูลส่วนบุคคล | บุคคลธรรมดาซึ่งถูกทำให้ระบุตัวตนได้ด้วยข้อมูลส่วนบุคคล ไม่ว่าโดยทางตรงหรือทางอ้อม |
| การประมวลผล/ประมวลผล | การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย |
| นโยบาย | นโยบายความเป็นส่วนตัว บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) สำหรับคู่ค้าทางธุรกิจ |
| ผู้ที่คาดว่าจะเป็นคู่ค้า | บุคคลธรรมดาหรือนิติบุคคลที่อาจเป็นคู่ค้ากับบริษัท ทั้งในกรณีที่ได้แสดงเจตนาจะเข้าทำสัญญาหรือจะลงทะเบียนเป็นคู่ค้าของบริษัท ผู้ที่สนใจเข้าร่วมธุรกิจ ผู้ดำเนินงานร่วมกับบริษัท หรือบุคคลอื่นใดที่ขอใบเสนอราคา หรือที่บริษัทเสนอราคาให้เพื่อพิจารณา |
| คู่ค้า | บุคคลธรรมดาหรือนิติบุคคลที่เข้าเสนอราคาเพื่อขายสินค้าหรือบริการ หรือรับจ้างทำของให้แก่บริษัทไม่ว่าจะได้ขึ้นทะเบียนเป็นคู่ค้ากับบริษัทหรือไม่ก็ตาม พันธมิตรทางธุรกิจ ผู้เข้าร่วมธุรกิจ ไม่ว่าจะเป็นการขายให้กับบริษัทโดยตรงหรือว่าเข้าร่วมพัฒนาสินค้าหรือบริการกับบริษัทเพื่อจำหน่ายก็ตาม ผู้ให้บริการ ผู้รับบริการ ผู้ว่าจ้าง ผู้รับจ้าง ที่ปรึกษา ผู้เชี่ยวชาญ นักวิชาการ วิทยากร คู่สัญญาของบริษัท และบุคคลอื่นๆในลักษณะเดียวกัน |
2. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
ในการเก็บรวบรวมและเก็บรักษาข้อมูลส่วนบุคคลบริษัท จะใช้วิธีการที่ชอบด้วยกฎหมายและจำกัดเพียงเท่าที่จำเป็นตามวัดถุประสงค์การดำเนินงานของบริษัท ดังต่อไปนี้
| ประเภท | ตัวอย่างข้อมูลส่วนบุคคล |
|---|---|
| ข้อมูลที่ใช้ระบุตัวตนและคุณลักษณะบุคคล | ชื่อ นามสกุล อายุ เพศ เลขประจำตัวประชาชน เลขประจำตัวคนต่างด้าว เลขประจำตัวผู้เสียภาษี สัญชาติ ลายมือชื่อ รูปภาพ |
| ข้อมูลสำหรับการติดต่อ | ที่อยู่ อีเมล Line ID หมายเลขโทรศัพท์ สถานที่ทำงาน |
| ข้อมูลเกี่ยวกับการศึกษาและการทำงาน | แผนก ตำแหน่งงาน |
| ข้อมูลทางการเงิน | หมายเลขบัญชีธนาคาร |
| ข้อมูลที่ใช้ประกอบเป็นหลักฐานในการทำนิติกรรมต่าง ๆ | สำเนาบัตรประจำตัวประชาชน |
| ข้อมูลทางเทคนิค | IP Address Mac Address |
| ข้อมูลอื่นๆ |
|
โดยทั่วไปแล้ว บริษัทไม่มีความประสงค์ในการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว เช่น ข้อมูลศาสนาและหมู่โลหิตที่ปรากฏอยู่บนหน้าบัตรประจำตัวประชาชนของท่าน หากท่านมอบสำเนาบัตรประชาชนให้แก่บริษัทซึ่งปรากฎข้อมูลดังกล่าว บริษัทขอให้ท่านปกปิดข้อมูลดังกล่าวก่อนส่งมอบให้กับบริษัท หากท่านมิได้ปกปิดข้อมูลข้างต้น ถือว่าท่านยินยอมให้บริษัทดำเนินการปกปิดข้อมูลเหล่านั้น
3. แหล่งที่มาของข้อมูลส่วนบุคคล
บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากแหล่งต่าง ๆ ดังต่อไปนี้
| ประเภท | ตัวอย่างแหล่งข้อมูลส่วนบุคคลที่เก็บรวบรวม |
|---|---|
| ข้อมูลส่วนบุคคลที่ได้รับจากท่านโดยตรง |
|
| ข้อมูลส่วนบุคคลที่ได้รับโดยอัตโนมัติ |
|
| ข้อมูลส่วนบุคคลที่ได้รับจากแหล่งอื่นหรือบุคคลที่สาม |
|
ในกรณีที่ท่านตกลงและยินยอมให้ข้อมูลส่วนบุคคลใด ๆ ที่เกี่ยวข้องกับบุคคลภายนอกให้แก่บริษัท ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดเกี่ยวกับนโยบายให้บุคคลเหล่านั้นทราบอย่างครบถ้วน รวมทั้งขอความยินยอมจากบุคคลภายนอก และท่านมีหน้าที่รับรองและรับประกันความถูกต้องของข้อมูลส่วนบุคคลนั้น
4. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
บริษัทจะประมวลผลข้อมูลส่วนบุคคลของท่าน เพื่อวัตถุประสงค์ต่าง ๆ โดนอาศัยฐานทางกฎหมาย ดังต่อไปนี้
| ลำดับ | ฐานทางกฎหมาย | การใช้ข้อมูลส่วนบุคคล |
|---|---|---|
| 1 | การปฏิบัติตามสัญญา (Performance of Contract) | เป็นการจำเป็นเพื่อปฏิบัติตามสัญญา ซึ่งท่านเป็นคู่สัญญากับบริษัท รวมทั้งเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญา |
| 2 | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) | เป็นการดำเนินงานที่จำเป็นของบริษัทภายใต้ประโยชน์โดยชอบตามกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผล และไม่ละเมิดต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลเกินควร |
| 3 | การปฏิบัติตามกฎหมาย (Legal Obligation) | เป็นการปฏิบัติตามกฎหมาย กฎระเบียบ หรือคำสั่งของหน่วยงานรัฐที่ทำหน้าที่ในการกำกับดูแลบริษัท |
| 4 | ประโยชน์สำคัญต่อชีวิต (Vital Interest) | เป็นการดำเนินงานเพื่อปกป้องประโยชน์สำคัญของเจ้าของข้อมูลส่วนบุคคล เช่น การปกป้องอันตรายต่อชีวิต ร่างกาย และสุขภาพ ของเจ้าของข้อมูลส่วนบุคคล |
| 5 | ความยินยอม (Consent) | ในกรณีที่บริษัทมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลอ่อนไหว ซึ่งไม่สามารถอาศัยฐานทางกฎหมายตามที่ระบุไว้ข้างต้นได้ บริษัทจะแจ้งและขอความยินยอมโดยชัดแจ้งเป็นการเฉพาะจากท่าน |
| ลำดับ | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| 1 | เพื่อการพิจารณาคุณสมบัติและความเหมาะสมของผู้ขึ้นทะเบียนและลงทะเบียนเป็นคู่ค้า การเปิดคู่ค้ารายใหม่ ตลอดจนการดำเนินการใด ๆ ในขั้นตอนการขึ้นทะเบียนคู่ค้า เช่น การตรวจสอบประวัติ การยืนยันตัวตนของท่าน และการดำเนินการตามคำขอต่าง ๆ ของท่านในระบบของบริษัท เช่น การเปลี่ยนแปลงแก้ไขข้อมูลของท่าน |
|
| 2 | เพื่อการดำเนินการในกระบวนการสรรหาและคัดเลือก การประเมินคุณสมบัติ ความเหมาะสมของท่าน ตามกระบวนการจัดซื้อจัดจ้างของบริษัท การเปรียบเทียบราคา | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 3 | เพื่อการพิจารณาลงนามในสัญญา และการดำเนินการของบริษัทตามคำขอของท่านก่อนการเข้าทำสัญญา อาทิ สัญญาว่าจ้าง สัญญาบริการ สัญญาทางการค้า บันทึกข้อตกลง (MOU) สัญญารักษาความลับและอื่นๆ การบริหารจัดการของบริษัทให้เป็นไปตามสัญญา |
|
| 4 | เพื่อการดำเนินการใด ๆ ให้เป็นไปตามสัญญาของบริษัท การแจ้งข้อมูลจำเป็นต่อท่านเพื่อการปฏิบัติตามสัญญา การติดต่อสื่อสารทางธุรกิจ การให้บริการในฐานะคู่ค้า ผู้ให้บริการ | การปฏิบัติตามสัญญา (Performance of Contract) |
| 5 | เพื่อการประชาสัมพันธ์ข้อมูลเกี่ยวกับการดำเนินงานของบริษัท การจัดทำข่าว การจัดทำประกาศเพื่อการประชาสัมพันธ์ | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 6 | เพื่อเก็บข้อมูลการติดต่อสื่อสารในระบบฐานข้อมูลเพื่อการติดต่อและสร้างโอกาสทางธุรกิจในอนาคต | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 7 | เพื่อการเรียกเก็บเงินหรือหนี้ที่ท่านค้างชำระอยู่กับบริษัท การเข้าทำธุรกรรม การชำระเงิน รวมไปถึงการดำเนินงานต่าง ๆ ให้เป็นผลสำเร็จแก่การทำธุรกรรม การตรวจสอบความถูกต้องของบัญชี การออกเอกสารประกอบการบันทึกบัญชีทั้งการตั้งหนี้ การตั้งค้างจ่าย เช่น ใบกำกับภาษี ใบสำคัญจ่ายเงิน ใบเสร็จรับเงิน และหนังสือรับรองการหักภาษี ณ ที่จ่าย |
|
| 8 | เพื่อการควบคุมภายในองค์กร การบริหารจัดการภายในบริษัทและบริษัทในเครือ การกำกับดูแลกิจการที่ดี การตรวจสอบจากภายในและจากภายนอก รวมทั้งการประสานงานกับผู้ให้บริการด้านการกำกับตรวจสอบบริษัทและบริษัทในเครือ |
|
| 9 | เพื่อการบริหารจัดการด้านเทคโนโลยีสารสนเทศ เช่น การสำรองข้อมูล การบันทึกข้อมูลการเข้าใช้งาน ข้อมูลการจราจรบนเทคโนโลยีสารสนเทศของบริษัท |
|
| 10 | เพื่อดูแลรักษาความปลอดภัยของชีวิต ร่างกาย สุขภาพและทรัพย์สินของท่านภายในและบริเวณโดยรอบของบริษัท เช่น การสอดส่องดูแลด้วยกล้องวงจรปิด (CCTV) |
|
| 11 | เพื่อการก่อตั้งสิทธิเรียกร้องทางกฎหมาย การปฏิบัติหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือการยกขึ้นสู้ซึ่งสิทธิเรียกร้องตามกฎหมาย ซึ่งรวมถึงแต่ไม่จำกัดเพียงการดำเนินคดี การบังคับคดี หรือการดำเนินการใด ๆ ตามกระบวนการทางกฎหมาย | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 12 | เพื่อปฏิบัติตามกฎหมาย กฎระเบียบ ข้อบังคับ ทั้งในประเทศและต่างประเทศที่ใช้บังคับ และเพื่อปฏิบัติตามคำสั่งของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายหรือเจ้าพนักงานที่มีอำนาจหน้าที่ตามกฎหมาย | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 13 | เพื่อการบริหารความเสี่ยง การตรวจสอบความน่าเชื่อถือของท่านเพื่อเป็นการเฝ้าระวัง ตรวจสอบและรายงานถึงการทุจริต การประพฤติมิชอบ อาชญากรรมทางการเงิน และอาชญากรรมอื่นๆ | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
5. การเปิดเผยข้อมูลส่วนบุคคล
- 5.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านไปยังบุคคลภายในและภายนอกบริษัท ดังต่อไปนี้
หน่วยงานภายในบริษัท บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ บุคลากรของบริษัท หน่วยงานภายในบริษัท โดยหมายรวมถึง ผู้บริหาร หัวหน้างาน พนักงาน อย่างไรก็ดี บริษัทจะจำกัดแค่เฉพาะผู้ที่เกี่ยวข้องและมีความจำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลเท่านั้น
พันธมิตรทางธุรกิจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่พันธมิตรทางธุรกิจในเชิงการบริหารจัดการในเชิงการปฏิบัติงานของบริษัท ซึ่งรวมไปถึง ตัวแทน ผู้รับมอบอำนาจ ขององค์กรนั้นด้วย เช่น ธนาคาร สถาบันการเงิน บริษัทประกันภัย เป็นต้น
ผู้ให้บริการ บริษัทอาจว่าจ้างผู้ให้บริการภายนอก (Outsource) เป็นผู้ให้บริการแทนหรือสนับสนุนการดำเนินธุรกิจของบริษัทและการให้บริการแก่ลูกค้า ซึ่งรวมไปถึง ตัวแทน ผู้รับจ้าง ผู้รับจ้างช่วง ของผู้ให้บริการนั้นด้วย เช่น ผู้ให้บริการจัดการเว็บไซต์และสื่อสารสนเทศ
ที่ปรึกษาวิชาชีพ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ ผู้ตรวจสอบบัญชี ผู้ตรวจสอบการบริหารงานของบริษัท ที่ปรึกษาในด้านต่าง ๆ ผู้ให้บริการทางวิชาชีพและผู้เชี่ยวชาญอื่นใดทั้งภายในและภายนอกบริษัท เพื่อสนับสนุนการดำเนินธุรกิจของบริษัท
หน่วยงานรัฐที่มีอำนาจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านหน่วยงานราชการ หน่วยงานที่ทำหน้าที่กำกับดูแลบริษัท หรือหน่วยงานอื่นที่มีอำนาจหน้าที่ตามที่กฎหมายกำหนด เพื่อการปฏิบัติตามกฎหมาย อาทิ กรมสรรพากร สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ศาล รวมทั้งเจ้าหน้าที่รัฐที่มีอำนาจในการเข้าถึงข้อมูลส่วนบุคคล เช่น เจ้าหน้าที่ตำรวจ
สื่อสาธารณะ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์บนสื่อสาธารณะ ไม่ว่าจะเป็นในรูปแบบสารสนเทศหรือไม่ก็ตาม ซึ่งบุคคลทั่วไปสามารถเข้าถึงได้ ไม่ว่าจะเป็นโซเชียลมีเดียหรือช่องทางการสื่อสารของบริษัท หรือเป็นเว็บไซต์ของหน่วยงานรัฐที่มีอำนาจที่เกี่ยวข้อง
- 5.2 บริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลส่วนบุคคลของท่านอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และจะดำเนินการเพื่อป้องกันไม่ให้มีการประมวลผลข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงจะดำเนินการภายใต้วัตถุประสงค์ที่กำหนดในนโยบายฉบับนี้หรือวัตถุประสงค์อื่นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้กระทำได้เท่านั้น โดยในกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ต้องขอความยินยอมจากท่าน บริษัทจะแจ้งและขอความยินยอมจากท่านเป็นการเฉพาะ
6. การส่งต่อหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
- 6.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ ทั้งนี้ หากมีความจำเป็นที่บริษัทจะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ บริษัทจะแจ้งและขอความยินยอมโดยชัดแจ้งจากท่านสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเป็นการเฉพาะ
- 6.2 ในการส่งต่อหรือโอนข้อมูลดังกล่าว บริษัทจะจัดให้มีมาตรการการคุ้มครองและรักษาความปลอดภัยที่เหมาะสม และจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทจะดำเนินการตามมาตรการเพื่อทำให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอหรือเป็นไปตามเงื่อนไขตามที่กฎหมายกำหนดอื่นๆ
- 6.3 บริษัทอาจเก็บข้อมูลส่วนบุคคลของท่านบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชั่นของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของของท่าน ทั้งนี้ บริษัทจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคล และจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม
7. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
- 7.1 บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของท่านในระยะเวลาเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่บริษัทดำเนินความสัมพันธ์กับท่านและแนวปฏิบัติต่อข้อมูลส่วนบุคคลแต่ละประเภท โดยปกติบริษัทจะเก็บข้อมูลส่วนบุคคลของท่านเป็นระยะเวลาไม่เกิน 10 ปีนับแต่วันที่ลูกค้ายุติความสัมพันธ์
- 7.2 เมื่อพ้นระยะเวลาที่ระบุไว้ข้างต้นหรือเมื่อหมดความจำเป็นที่จะต้องเก็บรักษาข้อมูลส่วนบุคคลของท่าน บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้โดยทันที ทั้งนี้ บริษัท อาจเก็บรักษาข้อมูลส่วนบุคคลของท่านทั้งหมดหรือบางส่วนเกินกว่าระยะเวลาที่ระบุไว้ข้างต้น เพื่อการปฏิบัติตามกฎหมายหรือคำสั่งโดยชอบด้วยกฎหมาย
- 7.3 บริษัท ได้จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาในการเก็บรักษาหรือหมดความจำเป็นในการประมวลผลข้อมูลนั้น
8. การประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม
บริษัทมีสิทธิในการประมวลผลข้อมูลส่วนบุคคลของท่านที่บริษัทได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับต่อไปตามวัตถุประสงค์เดิม หากท่านไม่ประสงค์ที่จะให้บริษัท ดำเนินการประมวลผลข้อมูลส่วนบุคคลดังกล่าวต่อไป ท่านสามารถขอถอนความยินยอมของท่านเมื่อใดก็ได้ โดยเงื่อนไขของการถอนความยินยอมเป็นไปตามข้อ 10.2
9. มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.1 บริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งมาตรการป้องกันด้านการบริหารจัดการ (administrative measure) มาตรการป้องกันด้านเทคนิค (technical measure) และมาตรการป้องกันทางกายภาพ (physical measure) เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพพร้อมใช้งานของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูลส่วนบุคคลจากผู้ที่ไม่มีสิทธิหรือหน้าที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้น
- 9.2 บริษัทได้มีการบังคับใช้มาตรการรักษาความมั่นคงปลอดภัยภายในบริษัท อย่างเข้มงวด โดยใช้เทคโนโลยีและขั้นตอนการรักษาความมั่นคงปลอดภัย อาทิ การจัดให้มีมาตรการควบคุมการเข้าถึงและใช้งานข้อมูลส่วนบุคคล โดยกำหนดสิทธิการเข้าถึงข้อมูล สิทธิในการอนุญาตให้ผู้ที่ได้รับมอบหมายให้เข้าถึงข้อมูลได้ รวมทั้งการจัดให้มีมาตรการสำหรับการตรวจสอบย้อนหลัง เพื่อให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลของท่านและบุคคลเหล่านี้ได้รับการฝึกอบรมและมีความตระหนักรู้เกี่ยวกับความสำคัญของการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.3 บริษัทจะจัดให้มีการทบทวนมาตรการดังกล่าว รวมทั้งปรับปรุงและพัฒนามาตรการดังกล่าว เมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้การรักษาความมั่นคงปลอดภัยข้อมูลเป็นไปอย่างมีประสิทธิภาพ
10. สิทธิของเจ้าของข้อมูลส่วนบุคคลและการใช้สิทธิในการดำเนินการดังกล่าว
- 10.1 ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่ระบุ ดังต่อไปนี้
| สิทธิของเจ้าของ ข้อมูลส่วนบุคคล | รายละเอียด |
|---|---|
| สิทธิในการเพิกถอน ความยินยอม (Right to withdraw consent) |
|
| สิทธิในการขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูล (Right to access and retrieve a copy of data) |
|
| สิทธิในการขอให้โอนย้ายข้อมูล (Right to data portability) |
|
| สิทธิในการคัดค้าน การประมวลผลข้อมูล (Right to object to Data Processing) | ท่านมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล ในกรณีที่บริษัท ประมวลผลข้อมูลส่วนบุคคล
|
| สิทธิขอให้ลบหรือทำลายข้อมูล (Right to erasure/Right to be forgotten) | ท่านมีสิทธิขอให้บริษัทดำเนินการลบ ทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ในกรณีต่อไปนี้
|
| สิทธิขอให้ระงับการ ประมวลผลข้อมูล (Right to restriction of Data Processing) | ท่านมีสิทธิขอให้บริษัทระงับการประมวลผลข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
|
| สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง (Right to rectification) | ท่านมีสิทธิขอให้มีบริษัทดำเนินการแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน ครบถ้วนสมบูรณ์ หรือไม่ก่อให้เกิดความเข้าใจผิด |
| สิทธิในการร้องเรียน (Right to lodge a complaint) | ท่านมีสิทธิร้องเรียนมายังบริษัทหรือหน่วยงานที่มีอำนาจตามกฎหมาย หากท่านเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของท่าน เป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล |
- 10.2 ท่านอาจใช้สิทธิข้างต้นของท่านได้ตลอดเวลา โดยติดต่อผ่านช่องทางการติดต่อตามข้อ 14. เพื่อดำเนินการแจ้งขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- 10.3 การใช้สิทธิดังกล่าวของท่านอาจถูกจำกัดภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้อง และอาจมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฎิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิของท่านได้ ในกรณีนี้บริษัทจะแจ้งเหตุผลของการปฎิเสธพร้อมกับคำตอบสนองต่อคำขอใช้สิทธิดังกล่าว
11. การถอนความยินยอมและผลกระทบที่เป็นไปได้จากการถอนความยินยอม
- 11.1 ในกรณีที่บริษัทประมวลผลข้อมูลส่วนบุคคลโดยอาศัยความยินยอม ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมที่ให้ไว้กับบริษัทได้ตลอดเวลา ทั้งนี้ การถอนความยินยอมนี้จะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมไปแล้วโดยชอบ
- 11.2 หากท่านถอนความยินยอมที่ได้ให้ไว้กับบริษัทหรือไม่ยินยอมที่จะให้ข้อมูลกับบริษัท ไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลให้บริษัทไม่สามารถดำเนินการเพื่อบรรลุวัตถุประสงค์ทั้งหมดหรือบางส่วนตามที่กำหนดไว้ในนโยบายฉบับนี้ได้
12. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ
- 12.1 หากท่านเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และต้องการให้ความยินยอมกับ บริษัทในการประมวลผลข้อมูลส่วนบุคคล ท่านจำเป็นต้องดำเนินการเพื่อให้ได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ก่อนที่จะให้ความยินยอมกับบริษัท
- 12.2 ในกรณีที่บริษัทต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ แต่บริษัทไม่ทราบในขณะประมวลผลถึงข้อเท็จจริงดังกล่าว และต่อมาบริษัทได้ทราบถึงข้อเท็จจริงนั้นในภายหลังว่าบริษัทได้ประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมข้างต้น บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้โดยทันที เว้นแต่เป็นกรณีที่บริษัทสามารถประมวลผลข้อมูลส่วนบุคคลดังกล่าวได้โดยอาศัยฐานทางกฎหมายอื่นและไม่ต้องขอความยินยอม
13. การแก้ไขเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
บริษัทอาจมีการปรับปรุงแก้ไขเพิ่มเติมนโยบายความเป็นส่วนตัวได้ตามความเหมาะสมและสถานการณ์ที่เปลี่ยนแปลงไป โดยหากเป็นการเปลี่ยนแปลงในสาระสำคัญของนโยบายฉบับนี้ บริษัทจะแจ้งการปรับปรุงแก้ไขเพิ่มเติมนโยบายให้ท่านทราบ และขอให้ท่านตรวจสอบนโยบายฉบับนี้เป็นประจำ
14. ช่องทางการติดต่อ
หากท่านมีข้อสงสัยเกี่ยวกับเนื้อหาในนโยบายความเป็นส่วนตัวฉบับนี้ หรือต้องการข้อมูลเพิ่มเติมเกี่ยวกับแนวปฏิบัติของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือมีความประสงค์ต้องการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล กรุณาติดต่อผ่านช่องทางการติดต่อดังนี้
ติดต่อบริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
สถานที่ติดต่อ: บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) 99/1 หมู่ 4 ตำบลแคราย อำเภอกระทุ่มแบน จังหวัดสมุทรสาคร 74110
อีเมล: DPO@nrinstant.com
หมายเลขโทรศัพท์: 034849576-80
15. กฎหมายที่ใช้บังคับ
ท่านตกลงและรับทราบว่านโยบายฉบับนี้อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาชี้ขาดข้อพิพาทใด ๆ ที่อาจเกิดขึ้นจากนโยบายฉบับนี้
นโยบายฉบับนี้ได้รับการอนุมัติจากคณะกรรมการบริษัท ในการประชุมครั้งที่ 9/2568 เมื่อวันที่ 15 พฤษภาคม 2568 ทั้งนี้ให้มีผลบังคับใช้ตั้งแต่วันที่ 16 พฤษภาคม 2568 เป็นต้นไป
สำหรับผู้มาติดต่อและผู้ขอเข้าอาคาร
บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) ซึ่งต่อไปนี้จะเรียกว่า "บริษัท" ให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลของผู้มาติดต่อและผู้ขอเข้าอาคาร (“ท่าน”) เพื่อให้การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อแจ้งข้อมูลให้ท่านทราบเกี่ยวกับ สิทธิ หน้าที่ ตลอดจนเงื่อนไขต่าง ๆ ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท
1. คำนิยาม
| คำศัพท์ | คำนิยาม |
|---|---|
| กฎหมายคุ้มครองข้อมูลส่วนบุคคล | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงฉบับแก้ไขเพิ่มเติม กฎหมาย กฎหมายลำดับรอง กฎ ระเบียบ ประกาศ หรือคำสั่ง ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล |
| ข้อมูลส่วนบุคคล | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| ข้อมูลส่วนบุคคลอ่อนไหว | ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
| เจ้าของข้อมูลส่วนบุคคล | บุคคลธรรมดาซึ่งถูกทำให้ระบุตัวตนได้ด้วยข้อมูลส่วนบุคคล ไม่ว่าโดยทางตรงหรือทางอ้อม |
| การประมวลผล/ประมวลผล | การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย |
| นโยบาย | นโยบายความเป็นส่วนตัว บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) สำหรับผู้มาติดต่อ ผู้ขอเข้าอาคาร |
| ผู้มาติดต่อ/ผู้ขอเข้าอาคาร | ผู้ที่แจ้งความประสงค์กับบริษัทเพื่อขอเข้าใช้บริการ เข้าเยี่ยมชม เข้าปฏิบัติงานหรือทำธุรกรรมใด ๆ กับบริษัทในอาคาร โรงงาน สถานที่ปฏิบัติงาน หรือพื้นที่เฉพาะภายในบริเวณของบริษัท |
2. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
ในการเก็บรวบรวมและเก็บรักษาข้อมูลส่วนบุคคลบริษัท จะใช้วิธีการที่ชอบด้วยกฎหมายและจำกัดเพียงเท่าที่จำเป็นตามวัดถุประสงค์การดำเนินงานของบริษัท ดังต่อไปนี้
| ประเภท | ตัวอย่างข้อมูลส่วนบุคคล |
|---|---|
| ข้อมูลที่ใช้ระบุตัวตนและคุณลักษณะบุคคล | ชื่อ นามสกุล อายุ เลขประจำตัวประชาชน ลายมือชื่อ |
| ข้อมูลสำหรับการติดต่อ | ชื่อบริษัท ชื่อหน่วยงานที่ทำงานอยู่ |
| ข้อมูลที่ใช้ประกอบเป็นหลักฐานในการทำนิติกรรมต่าง ๆ | เลขทะเบียนรถ |
| ข้อมูลส่วนบุคคลอื่น | ภาพนิ่ง ภาพเคลื่อนไหว เสียงที่บันทึกโดยกล้องวงจรปิด (CCTV) |
| ข้อมูลส่วนบุคคลอ่อนไหว | อาการเจ็บป่วย อาการบาดเจ็บ |
3. แหล่งที่มาของข้อมูลส่วนบุคคล
บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากแหล่งต่าง ๆ ดังต่อไปนี้
| ประเภท | ตัวอย่างแหล่งข้อมูลส่วนบุคคลที่เก็บรวบรวม |
|---|---|
| ข้อมูลส่วนบุคคลที่ได้รับจากท่านโดยตรง |
|
| ข้อมูลส่วนบุคคลที่ได้รับโดยอัตโนมัติ | ภาพนิ่ง ภาพเคลื่อนไหว เสียง ที่บันทึกผ่านกล้องวงจรปิดในบริเวณบริษัทs |
| ข้อมูลส่วนบุคคลที่ได้รับจากแหล่งอื่นหรือบุคคลที่สาม |
|
ในกรณีที่ท่านตกลงและยินยอมให้ข้อมูลส่วนบุคคลใด ๆ ที่เกี่ยวข้องกับบุคคลภายนอกให้แก่บริษัท ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดเกี่ยวกับนโยบายให้บุคคลเหล่านั้นทราบอย่างครบถ้วน รวมทั้งขอความยินยอมจากบุคคลภายนอก และท่านมีหน้าที่รับรองและรับประกันความถูกต้องของข้อมูลส่วนบุคคลนั้น
4. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
บริษัทจะประมวลผลข้อมูลส่วนบุคคลของท่าน เพื่อวัตถุประสงค์ต่าง ๆ โดนอาศัยฐานทางกฎหมาย ดังต่อไปนี้
| ลำดับ | ฐานทางกฎหมาย | การใช้ข้อมูลส่วนบุคคล |
|---|---|---|
| 1 | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) | เป็นการดำเนินงานที่จำเป็นของบริษัทภายใต้ประโยชน์โดยชอบตามกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผล และไม่ละเมิดต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลเกินควร |
| 2 | การปฏิบัติตามกฎหมาย (Legal Obligation) | เป็นการปฏิบัติตามกฎหมาย กฎระเบียบ หรือคำสั่งของหน่วยงานรัฐที่ทำหน้าที่ในการกำกับดูแลบริษัท ซึ่งรวมไปถึงการดำเนินการที่จำเป็นในกระบวนการทางกฎหมาย |
| 3 | ประโยชน์สำคัญต่อชีวิต (Vital Interest) | เป็นการดำเนินงานเพื่อปกป้องประโยชน์สำคัญของเจ้าของข้อมูลส่วนบุคคล เช่น การปกป้องอันตรายต่อชีวิต ร่างกาย และสุขภาพ ของเจ้าของข้อมูลส่วนบุคคล |
| 4 | ความยินยอม (Consent) | ในกรณีที่บริษัทมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลซึ่งไม่สามารถอาศัยฐานทางกฎหมายตามที่ระบุไว้ข้างต้น บริษัทจะแจ้งและขอความยินยอมเป็นการเฉพาะจากท่าน และจะประมวลผลข้อมูลส่วนบุคคลอ่อนไหวในกรณีที่สามารถทำได้ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือได้รับความยินยอมโดยชัดแจ้งจากท่าน |
| ลำดับ | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| 1 | เพื่อควบคุมการเข้าอาคาร โรงงาน สถานที่ปฏิบัติงาน หรือพื้นที่เฉพาะภายในบริเวณของบริษัทของท่าน ตลอดจนเพื่อสังเกตการณ์ ป้องกันและขัดขวาง ตลอดจนตรวจสอบการเข้าบริเวณดังกล่าวโดยไม่ได้รับอนุญาต รวมไปถึงการแลกบัตร การลงทะเบียน การบันทึกประวัติและข้อมูลที่จำเป็นของท่าน | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 2 | เพื่อรักษาความปลอดภัยในชีวิต ร่างกาย สุขภาพ และทรัพย์สินของท่าน รวมไปถึงความปลอดภัยของอาคาร โรงงาน สถานที่ปฏิบัติงาน หรือพื้นที่เฉพาะภายในบริเวณของบริษัท ตลอดจนทรัพย์สินของบริษัท รวมทั้งจัดให้มีการดำเนินการตามกระบวนการภายในอันจำเป็นก่อนการเข้าปฏิบัติงานใด ๆ ภายในบริษัท |
|
| 3 | เพื่อควบคุมการเข้าถึงแหล่งเทคโนโลยีสารสนเทศและฐานข้อมูลของบริษัท ตลอดจนเพื่อสังเกตการณ์ ป้องกัน ขัดขวาง และตรวจสอบการเข้าถึงโดยไม่ได้รับอนุญาต | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 4 | เพื่อการบริหารจัดการด้านสุขอนามัยและความปลอดภัย ตลอดจนการปฏิบัติตามกฎหมายที่เกี่ยวข้องกับความปลอดภัยและประโยชน์ด้านสาธารณสุข |
|
| 5 | เพื่อป้องกันและระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่าน เช่น การติดต่อในกรณีฉุกเฉิน การนำส่งโรงพยาบาล การบันทึกประวัติการเดินทาง การดำเนินการตามมาตรการควบคุมโรคติดต่อ |
|
| 6 | เพื่อการก่อตั้งสิทธิเรียกร้องทางกฎหมาย การปฏิบัติหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือการยกขึ้นสู้ซึ่งสิทธิเรียกร้องตามกฎหมาย ซึ่งรวมถึงแต่ไม่จำกัดเพียงการดำเนินคดี การบังคับคดี หรือการดำเนินการใด ๆ ตามกระบวนการทางกฎหมาย | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 7 | เพื่อปฏิบัติตามกฎหมาย กฎระเบียบ ข้อบังคับ ทั้งในประเทศและต่างประเทศที่ใช้บังคับ และเพื่อปฏิบัติตามคำสั่งของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายหรือเจ้าพนักงานที่มีอำนาจหน้าที่ตามกฎหมาย รวมทั้งการดำเนินการต่าง ๆ ตามกระบวนการทางกฎหมาย | การปฏิบัติตามกฎหมาย (Legal Obligation) |
5. การเปิดเผยข้อมูลส่วนบุคคล
- 5.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านไปยังบุคคลภายในและภายนอกบริษัท ดังต่อไปนี้
หน่วยงานภายในบริษัท บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ บุคลากรของบริษัท หน่วยงานภายในบริษัท โดยหมายรวมถึง ผู้บริหาร หัวหน้างาน พนักงาน อย่างไรก็ดี บริษัทจะจำกัดแค่เฉพาะผู้ที่เกี่ยวข้องและมีความจำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลเท่านั้น
ผู้ให้บริการ บริษัทอาจว่าจ้างผู้ให้บริการภายนอก (Outsource) เป็นผู้ให้บริการแทนหรือสนับสนุนการดำเนินธุรกิจของบริษัทและการให้บริการแก่ลูกค้า ซึ่งรวมไปถึง ตัวแทน ผู้รับจ้าง ผู้รับจ้างช่วง ของผู้ให้บริการนั้นด้วย เช่น บริษัทให้บริการรักษาความปลอดภัย
ที่ปรึกษาวิชาชีพ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ ผู้ตรวจสอบการบริหารงานของบริษัท ที่ปรึกษาในด้านต่าง ๆ และผู้เชี่ยวชาญอื่นใดทั้งภายในและภายนอกบริษัท เพื่อสนับสนุนการดำเนินธุรกิจของบริษัท
หน่วยงานรัฐที่มีอำนาจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านหน่วยงานราชการ หน่วยงานที่ทำหน้าที่กำกับดูแลบริษัท หรือหน่วยงานอื่นที่มีอำนาจหน้าที่ตามที่กฎหมายกำหนด เพื่อการปฏิบัติตามกฎหมาย เช่น สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ศาล รวมทั้งเจ้าหน้าที่รัฐที่มีอำนาจในการเข้าถึงข้อมูลส่วนบุคคล เช่น เจ้าหน้าที่ตำรวจ อัยการ
- 5.2 บริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลส่วนบุคคลของท่านอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และจะดำเนินการเพื่อป้องกันไม่ให้มีการประมวลผลข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงจะดำเนินการภายใต้วัตถุประสงค์ที่กำหนดในนโยบายฉบับนี้หรือวัตถุประสงค์อื่นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้กระทำได้เท่านั้น โดยในกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ต้องขอความยินยอมจากท่าน บริษัทจะแจ้งและขอความยินยอมจากท่านเป็นการเฉพาะ
6. การส่งต่อหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
- 6.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ ทั้งนี้ หากมีความจำเป็นที่บริษัทจะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ บริษัทจะแจ้งและขอความยินยอมโดยชัดแจ้งจากท่านสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเป็นการเฉพาะ
- 6.2 ในการส่งต่อหรือโอนข้อมูลดังกล่าว บริษัทจะจัดให้มีมาตรการการคุ้มครองและรักษาความปลอดภัยที่เหมาะสม และจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทจะดำเนินการตามมาตรการเพื่อทำให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอหรือเป็นไปตามเงื่อนไขตามที่กฎหมายกำหนดอื่นๆ
- 6.3 บริษัทอาจเก็บข้อมูลส่วนบุคคลของท่านบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชั่นของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของของท่าน ทั้งนี้ บริษัทจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคล และจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม
7. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
- 7.1 บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของท่านในระยะเวลาเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่บริษัทดำเนินความสัมพันธ์กับท่านและแนวปฏิบัติต่อข้อมูลส่วนบุคคลแต่ละประเภท โดยปกติบริษัทจะเก็บข้อมูลส่วนบุคคลของท่านเป็นระยะเวลาไม่เกิน 4 ปีนับแต่วันที่ดำเนินการจัดเก็บข้อมูล
- 7.2 เมื่อพ้นระยะเวลาที่ระบุไว้ข้างต้นหรือเมื่อหมดความจำเป็นที่จะต้องเก็บรักษาข้อมูลส่วนบุคคลของท่าน บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้โดยทันที ทั้งนี้ บริษัท อาจเก็บรักษาข้อมูลส่วนบุคคลของท่านทั้งหมดหรือบางส่วนเกินกว่าระยะเวลาที่ระบุไว้ข้างต้น เพื่อการปฏิบัติตามกฎหมายหรือคำสั่งโดยชอบด้วยกฎหมาย
- 7.3 บริษัท ได้จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาในการเก็บรักษาหรือหมดความจำเป็นในการประมวลผลข้อมูลนั้น
8. การประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม
บริษัทมีสิทธิในการประมวลผลข้อมูลส่วนบุคคลของท่านที่บริษัทได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับต่อไปตามวัตถุประสงค์เดิม หากท่านไม่ประสงค์ที่จะให้บริษัท ดำเนินการประมวลผลข้อมูลส่วนบุคคลดังกล่าวต่อไป ท่านสามารถขอถอนความยินยอมของท่านเมื่อใดก็ได้ โดยเงื่อนไขของการถอนความยินยอมเป็นไปตามข้อ 10.2
9. มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.1 บริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งมาตรการป้องกันด้านการบริหารจัดการ (administrative measure) มาตรการป้องกันด้านเทคนิค (technical measure) และมาตรการป้องกันทางกายภาพ (physical measure) เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพพร้อมใช้งานของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูลส่วนบุคคลจากผู้ที่ไม่มีสิทธิหรือหน้าที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้น
- 9.2 บริษัทได้มีการบังคับใช้มาตรการรักษาความมั่นคงปลอดภัยภายในบริษัท อย่างเข้มงวด โดยใช้เทคโนโลยีและขั้นตอนการรักษาความมั่นคงปลอดภัย เช่น การจัดให้มีมาตรการควบคุมการเข้าถึงและใช้งานข้อมูลส่วนบุคคล โดยกำหนดสิทธิการเข้าถึงข้อมูล สิทธิในการอนุญาตให้ผู้ที่ได้รับมอบหมายให้เข้าถึงข้อมูลได้ รวมทั้งการจัดให้มีมาตรการสำหรับการตรวจสอบย้อนหลัง เพื่อให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลของท่านและบุคคลเหล่านี้ได้รับการฝึกอบรมและมีความตระหนักรู้เกี่ยวกับความสำคัญของการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.3 บริษัทจะจัดให้มีการทบทวนมาตรการดังกล่าว รวมทั้งปรับปรุงและพัฒนามาตรการดังกล่าว เมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้การรักษาความมั่นคงปลอดภัยข้อมูลเป็นไปอย่างมีประสิทธิภาพ
10. สิทธิของเจ้าของข้อมูลส่วนบุคคลและการใช้สิทธิในการดำเนินการดังกล่าว
- 10.1 ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่ระบุ ดังต่อไปนี้
| สิทธิของเจ้าของ ข้อมูลส่วนบุคคล | รายละเอียด |
|---|---|
| สิทธิในการเพิกถอน ความยินยอม (Right to withdraw consent) |
|
| สิทธิในการขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูล (Right to access and retrieve a copy of data) |
|
| สิทธิในการขอให้โอนย้ายข้อมูล (Right to data portability) |
|
| สิทธิในการคัดค้าน การประมวลผลข้อมูล (Right to object to Data Processing) | ท่านมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล ในกรณีที่บริษัท ประมวลผลข้อมูลส่วนบุคคล
|
| สิทธิขอให้ลบหรือทำลายข้อมูล (Right to erasure/Right to be forgotten) | ท่านมีสิทธิขอให้บริษัทดำเนินการลบ ทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ในกรณีต่อไปนี้
|
| สิทธิขอให้ระงับการ ประมวลผลข้อมูล (Right to restriction of Data Processing) | ท่านมีสิทธิขอให้บริษัทระงับการประมวลผลข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
|
| สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง (Right to rectification) | ท่านมีสิทธิขอให้มีบริษัทดำเนินการแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน ครบถ้วนสมบูรณ์ หรือไม่ก่อให้เกิดความเข้าใจผิด |
| สิทธิในการร้องเรียน (Right to lodge a complaint) | ท่านมีสิทธิร้องเรียนมายังบริษัทหรือหน่วยงานที่มีอำนาจตามกฎหมาย หากท่านเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของท่าน เป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล |
- 10.2 ท่านอาจใช้สิทธิข้างต้นของท่านได้ตลอดเวลา โดยติดต่อผ่านช่องทางการติดต่อตามข้อ 14. เพื่อดำเนินการแจ้งขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- 10.3 การใช้สิทธิดังกล่าวของท่านอาจถูกจำกัดภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้อง และอาจมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฎิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิของท่านได้ ในกรณีนี้บริษัทจะแจ้งเหตุผลของการปฎิเสธพร้อมกับคำตอบสนองต่อคำขอใช้สิทธิดังกล่าว
11. การถอนความยินยอมและผลกระทบที่เป็นไปได้จากการถอนความยินยอม
- 11.1 ในกรณีที่บริษัทประมวลผลข้อมูลส่วนบุคคลโดยอาศัยความยินยอม ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมที่ให้ไว้กับบริษัทได้ตลอดเวลา ทั้งนี้ การถอนความยินยอมนี้จะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมไปแล้วโดยชอบ
- 11.2 หากท่านถอนความยินยอมที่ได้ให้ไว้กับบริษัทหรือไม่ยินยอมที่จะให้ข้อมูลกับบริษัท ไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลให้บริษัทไม่สามารถดำเนินการเพื่อบรรลุวัตถุประสงค์ทั้งหมดหรือบางส่วนตามที่กำหนดไว้ในนโยบายฉบับนี้ได้
12. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ
- 12.1 หากท่านเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และต้องการให้ความยินยอมกับ บริษัทในการประมวลผลข้อมูลส่วนบุคคล ท่านจำเป็นต้องดำเนินการเพื่อให้ได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ก่อนที่จะให้ความยินยอมกับบริษัท
- 12.2 ในกรณีที่บริษัทต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ แต่บริษัทไม่ทราบในขณะประมวลผลถึงข้อเท็จจริงดังกล่าว และต่อมาบริษัทได้ทราบถึงข้อเท็จจริงนั้นในภายหลังว่าบริษัทได้ประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมข้างต้น บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้โดยทันที เว้นแต่เป็นกรณีที่บริษัทสามารถประมวลผลข้อมูลส่วนบุคคลดังกล่าวได้โดยอาศัยฐานทางกฎหมายอื่นและไม่ต้องขอความยินยอม
13. การแก้ไขเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
บริษัทอาจมีการปรับปรุงแก้ไขเพิ่มเติมนโยบายความเป็นส่วนตัวได้ตามความเหมาะสมและสถานการณ์ที่เปลี่ยนแปลงไป โดยหากเป็นการเปลี่ยนแปลงในสาระสำคัญของนโยบายฉบับนี้ บริษัทจะแจ้งการปรับปรุงแก้ไขเพิ่มเติมนโยบายให้ท่านทราบ และขอให้ท่านตรวจสอบนโยบายฉบับนี้เป็นประจำ
14. ช่องทางการติดต่อ
หากท่านมีข้อสงสัยเกี่ยวกับเนื้อหาในนโยบายความเป็นส่วนตัวฉบับนี้ หรือต้องการข้อมูลเพิ่มเติมเกี่ยวกับแนวปฏิบัติของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือมีความประสงค์ต้องการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล กรุณาติดต่อผ่านช่องทางการติดต่อดังนี้
ติดต่อบริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
สถานที่ติดต่อ: บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) 99/1 หมู่ 4 ตำบลแคราย อำเภอกระทุ่มแบน จังหวัดสมุทรสาคร 74110
อีเมล: DPO@nrinstant.com
หมายเลขโทรศัพท์: 034849576-80
15. กฎหมายที่ใช้บังคับ
ท่านตกลงและรับทราบว่านโยบายฉบับนี้อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาชี้ขาดข้อพิพาทใด ๆ ที่อาจเกิดขึ้นจากนโยบายฉบับนี้
นโยบายฉบับนี้ได้รับการอนุมัติจากคณะกรรมการบริษัท ในการประชุมครั้งที่ 9/2568 เมื่อวันที่ 15 พฤษภาคม 2568 ทั้งนี้ให้มีผลบังคับใช้ตั้งแต่วันที่ 16 พฤษภาคม 2568 เป็นต้นไป