นโยบายการคุ้มครองข้อมูลส่วนบุคคล
1. หลักการและเหตุผล
บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จํากัด (มหาชน) (“บริษัท”) ตระหนักถึงความสําคัญในการรักษาความลับของข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลส่วนบุคคลเกิดความมั่นใจได้ว่าบริษัทเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลอย่างโปร่งใส เป็นธรรม และสอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งกฎหมายลำดับรองที่เกี่ยวข้อง จึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น (“นโยบาย”) เพื่อชี้แจงรายละเอียดการประมวลผลข้อมูลส่วนบุคคลของบริษัท โดยมีรายละเอียดสาระสำคัญดังต่อไปนี้
2. ขอบเขตการบังคับใช้
นโยบายนี้ใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลซึ่งมีความสัมพันธ์กับบริษัทในปัจจุบันและที่อาจมีในอนาคต ซึ่งถูกประมวลผลข้อมูลส่วนบุคคลโดยบริษัท พนักงานตามสัญญา หน่วยธุรกิจหรือหน่วยงานรูปแบบอื่นที่ดำเนินการโดยบริษัท และรวมถึงคู่สัญญาหรือบุคคลภายนอกที่ประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของบริษัท ("ผู้ประมวลผลข้อมูลส่วนบุคคล") ภายใต้ผลิตภัณฑ์และบริการต่าง ๆ เช่น เว็บไซต์ ระบบ แอปพลิเคชัน เอกสาร หรือบริการในรูปแบบอื่นที่ควบคุมดูแลโดยบริษัท (รวมเรียกว่า "บริการ") โดยจะต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งนโยบายฉบับนี้
บุคคลซึ่งมีความสัมพันธ์กับบริษัทหมายถึงบุคคลดังต่อไปนี้ (รวมเรียกว่า “ท่าน”)
- 2.1 ลูกค้าที่เป็นบุคคลธรรมดา
- 2.2 ผู้สมัครงาน นักศึกษาฝึกงาน พนักงาน
- 2.3 คู่ค้า ผู้ที่คาดว่าจะเป็นคู่ค้า ผู้ให้บริการ ซึ่งเป็นบุคคลธรรมดา
- 2.4 กรรมการ ผู้รับมอบอำนาจ ผู้แทน ตัวแทน ผู้ถือหุ้น หรือบุคคลอื่นที่มีความสัมพันธ์ในรูปแบบเดียวกันของนิติบุคคลที่มีความสัมพันธ์กับบริษัท
- 2.5 ผู้มาติดต่อและใช้บริการของบริษัท
- 2.6 ผู้เข้าชมหรือใช้งานระบบสารสนเทศ ทั้งในรูปแบบเว็บไซต์ แอปฟลิเคชัน หรือช่องทางการสื่อสารอื่นซึ่งเป็นของบริษัท รวมถึงการควบคุมดูแลโดยบริษัท
- 2.7 บุคคลอื่นที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ผู้เข้าร่วมประชุม ครอบครัวของพนักงาน ผู้รับประโยชน์ในกรมธรรม์ประกันภัย เป็นต้น
นอกจากนโยบายฉบับนี้แล้ว บริษัทจะกำหนดให้มีประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) (“ประกาศ”) ให้ท่านได้ทราบถึงรายละเอียดของการประมวลผลข้อมูลส่วนบุคคลเป็นการเฉพาะเจาะจง อาทิ ข้อมูลส่วนบุคคลที่ถูกประมวลผล วัตถุประสงค์และฐานกฎหมายในการประมวลผลข้อมูลส่วนบุคคล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล
ทั้งนี้ ในกรณีที่มีความขัดแย้งในสาระสำคัญระหว่างความในประกาศและนโยบายฉบับนี้ ให้ถือตามความในประกาศของประเภทของเจ้าของข้อมูลส่วนบุคคลนั้น
3. บทนิยาม
| คำศัพท์ | คำนิยาม |
|---|---|
| กฎหมายคุ้มครองข้อมูลส่วนบุคคล | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงฉบับแก้ไขเพิ่มเติม กฎหมาย กฎหมายลำดับรอง กฎ ระเบียบ ประกาศ หรือคำสั่ง ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล |
| ข้อมูลส่วนบุคคล | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| ข้อมูลส่วนบุคคลอ่อนไหว | ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
| เจ้าของข้อมูลส่วนบุคคล | บุคคลธรรมดาซึ่งถูกทำให้ระบุตัวตนได้ด้วยข้อมูลส่วนบุคคล ไม่ว่าโดยทางตรงหรือทางอ้อม |
| การประมวลผล/ประมวลผล | การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย |
| ลูกค้า | บุคคลธรรมดาหรือนิติบุคคลที่เป็นเป้าหมายของบริษัทในการดำเนินงานขายสินค้าหรือบริการของบริษัท ไม่ว่าจะมีการดำเนินการชำระค่าสินค้าหรือบริการแล้วหรืออาจมีการดำเนินการเช่นว่านั้นในอนาคตก็ตาม รวมทั้งบุคคลใด ๆ ที่มีลักษณะคล้ายคลึงกัน เช่น ผู้เข้าร่วมกิจกรรม ผู้ติดต่อขอรับบริการจากบริษัท ผู้ใช้บริการเว็บไซต์ ผู้ตอบแบบสอบถามเกี่ยวกับสินค้าหรือบริการของบริษัท เป็นต้น |
| ผู้สมัครงาน | บุคคลที่มีสัญชาติไทยหรือชาวต่างชาติที่ยื่นสมัครงานเพื่อเป็นพนักงานประจำ พนักงานชั่วคราว หรือนักศึกษาฝึกงาน ที่ทำงานให้แก่บริษัท แล้วแต่กรณี ไม่ว่าการสมัครงานนั้นจะดำเนินการโดยผู้สมัครเอง หรือเป็นการรับสมัครงานภายในบริษัทหรือผ่านการแนะนำของบุคคลอื่นใดหรือผ่านการดำเนินการของผู้ให้บริการจัดหางาน |
| พนักงาน | ผู้สมัครงานที่ได้รับการคัดเลือกให้เข้าทำสัญญาเพื่อทำงานให้แก่บริษัท ในฐานะพนักงานประจำ พนักงานชั่วคราว (Temporary) หรือพนักงานในช่วงทดลองงาน (Probation) หรือนักศึกษาฝึกงาน และได้รับค่าจ้างคำนวณในอัตรารายเดือน รายวัน รายชั่วโมง หรือตามผลงานโดยคำนวณเป็นหน่วย หรือคำนวณเป็นอย่างอื่น หรือที่มีการตกลงกันเป็นอย่างอื่นระหว่างบริษัทและพนักงานดังกล่าว |
| ผู้ที่คาดว่าจะเป็นคู่ค้า | บุคคลธรรมดาหรือนิติบุคคลที่อาจเป็นคู่ค้ากับบริษัท ทั้งในกรณีที่ได้แสดงเจตนาจะเข้าทำสัญญาหรือจะลงทะเบียนเป็นคู่ค้าของบริษัท ผู้ที่สนใจเข้าร่วมธุรกิจ ผู้ดำเนินงานร่วมกับบริษัท หรือบุคคลอื่นใดที่ขอใบเสนอราคา หรือที่บริษัทเสนอราคาให้เพื่อพิจารณา |
| คู่ค้า | บุคคลธรรมดาหรือนิติบุคคลที่เข้าเสนอราคาเพื่อขายสินค้าหรือบริการ หรือรับจ้างทำของให้แก่บริษัทไม่ว่าจะได้ขึ้นทะเบียนเป็นคู่ค้ากับบริษัทหรือไม่ก็ตาม พันธมิตรทางธุรกิจ ผู้เข้าร่วมธุรกิจ ไม่ว่าจะเป็นการขายให้กับบริษัทโดยตรงหรือว่าเข้าร่วมพัฒนาสินค้าหรือบริการกับบริษัทเพื่อจำหน่ายก็ตาม ผู้ให้บริการ ผู้รับบริการ ผู้ว่าจ้าง ผู้รับจ้าง ที่ปรึกษา ผู้เชี่ยวชาญ นักวิชาการ วิทยากร คู่สัญญาของบริษัท และบุคคลอื่นๆในลักษณะเดียวกัน |
| ผู้มาติดต่อและใช้บริการ | ผู้ที่แจ้งความประสงค์กับบริษัทเพื่อขอเข้าใช้บริการ เข้าเยี่ยมชม เข้าปฏิบัติงานหรือทำธุรกรรมใด ๆ กับบริษัทในอาคาร โรงงาน สถานที่ปฏิบัติงาน หรือพื้นที่เฉพาะภายในบริเวณของบริษัท |
4. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลต่อไปนี้เพื่อประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ของบริษัท ซึ่งจำกัดไว้เท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์เท่านั้น
| ประเภท | ตัวอย่างข้อมูลส่วนบุคคล |
|---|---|
| ข้อมูลที่ใช้ระบุตัวตนและคุณลักษณะบุคคล | ชื่อ นามสกุล เพศ สัญชาติ วันเดือนปีเกิด อายุ เลขประจำตัวประชาชน เลขที่หนังสือเดินทาง เลขประจำตัวใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี ลายมือชื่อ รูปถ่าย สถานภาพสมรส สถานภาพการเกณฑ์ทหาร ชื่อ-นามสกุลของบิดามารดา |
| ข้อมูลสำหรับการติดต่อ | ที่อยู่ หมายเลขโทรศัพท์ อีเมล |
| ข้อมูลเกี่ยวกับการศึกษาและการทำงาน | ประวัติการศึกษา ระดับการศึกษา วุฒิการศึกษา ประวัติการฝึกอบรม อาชีพ รหัสพนักงาน ตำแหน่งงาน แผนก อายุงาน วันที่และเวลาเข้า-ออกงาน วันที่เริ่มงาน คะแนนผลการทำงาน สถิติการมาทำงาน สาเหตุการลาออก |
| ข้อมูลทางการเงิน | อัตราค่าจ้าง เงินเดือน หมายเลขบัญชีธนาคาร |
| ข้อมูลที่ใช้ประกอบเป็นหลักฐานในการทำนิติกรรมต่าง ๆ | สำเนาบัตรประจำตัวประชาชน สำเนาหน้าสมุดบัญชีธนาคาร เลขทะเบียนรถยนต์ สำเนาหนังสือเดินทาง เอกสารวีซ่า ใบอนุญาตทำงาน (Work Permit) บัตรประจำตัวคนไม่มีสัญชาติไทย (บัตรชมพู) ใบเสร็จการแจ้งเข้าทำงานของคนต่างด้าว |
| ข้อมูลทางเทคนิค | IP Address, Mac Address, Cookie, ข้อมูลจราจรทางคอมพิวเตอร์ (log) |
| ข้อมูลส่วนบุคคลอ่อนไหว | ส่วนสูง น้ำหนัก ข้อมูลบาดแผล ข้อมูลโรค ข้อมูลทางการแพทย์ ใบรับรองแพทย์ ผลการตรวจสุขภาพ โรคประจำตัว ข้อมูลความพิการ ประวัติอาชญากรรม พฤติกรรมทางเพศ ลายนิ้วมือ สำเนาบัตรประจำผู้พิการ |
| ข้อมูลอื่นๆ |
|
5. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ คนเสมือนไร้ความสามารถ
โดยทั่วไปแล้ว บริษัทไม่มีความจำเป็นในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ ทั้งนี้ หากบริษัทมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคล บริษัทจะขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกำหนด
หากบริษัทพบในภายหลังว่ามีการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ โดยไม่ได้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาลหรือผู้พิทักษ์ตามแต่กรณี และไม่สามารถอาศัยฐานทางกฎหมายอื่นในการประมวลผลข้อมูลส่วนบุคคล บริษัทจะหยุดการประมวลผลข้อมูลดังกล่าว และลบทำลายข้อมูลส่วนบุคคลทันที
6. แหล่งที่มาของข้อมูลส่วนบุคคล
บริษัทเก็บรวบรวมหรือได้รับข้อมูลส่วนบุคคลจากแหล่งดังต่อไปนี้
- 6.1 ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมโดยตรงจากเจ้าของข้อมูลส่วนบุคคล เช่น การสมัครงาน การลงทะเบียน การกรอกข้อมูลลงในเอกสารหรือแบบฟอร์มออนไลน์ การโต้ตอบและสื่อสารกับบริษัทผ่านช่องทางต่าง ๆ การบันทึกภาพนิ่ง ภาพเคลื่อนไหว ระหว่างที่ท่านเข้าร่วมกิจกรรม เป็นต้น
- 6.2 ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมโดยอัตโนมัติ เช่น การเข้าใช้งานระบบเทคโนโลยีสารสนเทศของบริษัท ข้อมูลที่ถูกบันทึกโดยกล้องโทรทัศน์วงจรปิด (CCTV)
- 6.3 ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจากแหล่งอื่น โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลโดยชอบด้วยกฎหมาย หรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เช่น ตัวแทนจัดหางาน การรับข้อมูลจากหน่วยงานรัฐที่มีอำนาจ การแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญาเพื่อความจำเป็นในการดำเนินกิจการของบริษัท
กรณีที่ท่านเป็นผู้ให้ข้อมูลส่วนบุคคลของบุคคลอื่นแก่บริษัท ในการนี้ บริษัทขอให้ท่านแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงนโยบายฉบับนี้ และขอความยินยอมโดยชอบจากบุคคลดังกล่าวด้วย ตลอดจนตรวจสอบและยืนยันความถูกต้องครบถ้วนของข้อมูลส่วนบุคคลดังกล่าว
7. ฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
ในการประมวลผลข้อมูลส่วนบุคคลของบริษัท บริษัทจะขอความยินยอมโดยชัดแจ้งจากท่านก่อนการประมวลผลข้อมูลส่วนบุคคล เว้นแต่บริษัทสามารถอาศัยฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคลดังต่อไปนี้ เพื่อรองรับการประมวลผลข้อมูลส่วนบุคคลของบริษัท
- 7.1 เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ
- 7.2 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล
- 7.3 เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
- 7.4 เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัท
- 7.5 เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่บริษัท เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
- 7.6 เป็นการปฏิบัติตามกฎหมายของบริษัท
ในกรณีที่บริษัทมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลเพื่อการปฏิบัติตามสัญญาที่ท่านได้เข้าผูกพัน หรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญานั้น หรือเป็นการจำเป็นเพื่อปฏิบัติหน้าที่ตามกฎหมาย หากท่านไม่ให้ความยินยอมหรือเพิกถอนความยินยอมในการเปิดเผยข้อมูลส่วนบุคคลแก่บริษัท หรือใช้สิทธิคัดค้านการประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ของกิจกรรม อาจส่งผลให้บริษัทไม่สามารถดำเนินการหรือให้บริการตามที่ท่านร้องขอได้ไม่ว่าทั้งหมดหรือบางส่วน
8. วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
ในการประมวลผลข้อมูลส่วนบุคคล บริษัทจะประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้
- 8.1 เพื่อการตรวจสอบ ประเมินคุณสมบัติและความเหมาะสม ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่ค้าหรือเป็นผู้สมัครงาน
- 8.2 เพื่อดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนการเข้าทำสัญญา การเข้าทำสัญญา ตลอดจนการปฏิบัติหน้าที่ตามสัญญา
- 8.3 เพื่อการบริหารจัดการอันเกี่ยวข้องกับการดำเนินกิจการของบริษัท การบริหารจัดการทรัพยากรบุคคล การติดต่อสื่อสาร การประสานงานกับเจ้าของข้อมูลส่วนบุคคล
- 8.4 เพื่อดำเนินกิจกรรมทางบัญชีและภาษีอากร การทำธุรกรรม การจัดทำและจัดเก็บเอกสารเกี่ยวกับการทำธุรกรรม
- 8.5 เพื่อการประชาสัมพันธ์ การแจ้งข้อมูลข่าวสาร รวมถึงการดำเนินการเพื่อวัตถุประสงค์ทางการตลาด การส่งเสริมการขายการนำเสนอข้อมูลสินค้าและบริการเพื่อทำการตลาด
- 8.6 เพื่อเก็บข้อมูล สำรวจความพึงพอใจ เพื่อจัดทำสถิติ และนำข้อมูลไปใช้ประกอบการปรับปรุงพัฒนาสินค้าและบริการ
- 8.7 เพื่อการบริหารจัดการเกี่ยวกับเทคโนโลยีสารสนเทศ
- 8.8 เพื่อดูแลรักษาความปลอดภัยของชีวิต ร่างกาย สุขภาพและทรัพย์สินของเจ้าของข้อมูลส่วนบุคคลทั้งภายในและบริเวณโดยรอบของบริษัท และการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- 8.9 เพื่อก่อตั้งสิทธิเรียกร้องทางกฎหมาย การปฏิบัติิหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือการยกขึ้นสู้ซึ่งสิทธิเรียกร้องตามกฎหมาย
- 8.10 เพื่อปฏิบัติตามกฎหมาย กฎระเบียบ ข้อบังคับ รวมทั้งคำสั่งโดยชอบด้วยกฎหมาย ซึ่งมีผลบังคับใช้กับบริษัท
9. คุณภาพของข้อมูล
บริษัทมีการเก็บรวบรวมและเก็บรักษาข้อมูลส่วนบุคคล เพื่อนำไปใช้ประโยชน์ภายในอำนาจหน้าที่และวัตถุประสงค์ในการดำเนินงานของบริษัท โดยคำนึงถึงความถูกต้อง ครบถ้วน สมบูรณ์ และเป็นปัจจุบันของข้อมูล
10. การเปิดเผยข้อมูลส่วนบุคคล
เพื่อให้บรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล บริษัทมีความจำเป็นต่องเปิดเผยข้อมูลส่วนบุคคลไปยังบุคคลธรรมดาหรือนิติบุคคลดังต่อไปนี้
- 10.1 หน่วยงานภายในบริษัทและบริษัทในเครือ อย่างไรก็ดี บริษัทจะจำกัดแค่เฉพาะผู้ที่เกี่ยวข้องและมีความจำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลเท่านั้น
- 10.2 พันธมิตรทางธุรกิจในเชิงการบริหารจัดการในเชิงการปฏิบัติงานของบริษัท ซึ่งรวมไปถึง ตัวแทน ผู้รับมอบอำนาจขององค์กรนั้น เช่น ธนาคาร สถาบันการเงิน บริษัทประกันภัย สถานพยาบาล
- 10.3 ผู้ให้บริการภายนอก (Outsource) ซึ่งรวมไปถึง ตัวแทน ผู้รับจ้าง ผู้รับจ้างช่วง ของผู้ให้บริการนั้นด้วย เช่น ผู้ให้บริการจัดการเว็บไซต์และสื่อสารสนเทศ ผู้ให้บริการด้านขนส่ง ผู้ให้บริการด้านการประชาสัมพันธ์ ผู้ให้บริการเกี่ยวกับการจัดกิจกรรม
- 10.4 ที่ปรึกษาวิชาชีพ เช่น ผู้ตรวจสอบบัญชี ผู้ตรวจสอบการบริหารงานของบริษัท ที่ปรึกษาทางกฎหมาย
- 10.5 หน่วยงานราชการ หน่วยงานที่ทำหน้าที่กำกับดูแลบริษัท หรือหน่วยงานอื่นที่มีอำนาจหน้าที่ตามที่กฎหมายกำหนด เพื่อการปฏิบัติตามกฎหมาย เช่น สำนักงานประกันสังคม กรมจัดหางาน กรมพัฒนาฝีมือแรงงาน สำนักงานพัฒนาสังคมและความมั่นคงของมนุษย์ กรมสรรพากร กรมศุลกากร กรมสรรพสามิต สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ศาล รวมทั้งเจ้าหน้าที่รัฐที่มีอำนาจในการเข้าถึงข้อมูลส่วนบุคคล เช่น เจ้าหน้าที่ตำรวจ อัยการ
- 10.6 สื่อสาธารณะ ไม่ว่าจะเป็นโซเชียลมีเดียหรือช่องทางการสื่อสารของบริษัท หรือเป็นเว็บไซต์ของหน่วยงานรัฐที่มีอำนาจที่เกี่ยวข้อง
11. การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
ในบางกรณี บริษัทอาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเพื่อการดำเนินการตามวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล โดยบริษัทจะจัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนที่เหมาะสม ตลอดจนสอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และจะดำเนินการตามมาตรการเพื่อทำให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอหรือเป็นไปตามเงื่อนไขตามที่กฎหมายกำหนดอื่น ๆ
ในการส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ บริษัทจะแจ้งและขอความยินยอมโดยชัดแจ้งจากท่านสำหรับการส่ง หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเป็นการเฉพาะ เว้นแต่เป็นกรณีตามที่กฎหมายกำหนด ซึ่งบริษัทสามารถส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศได้โดยไม่ต้องขอความยินยอมจากท่าน
12. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่ข้อมูลส่วนบุคคลนั้นยังมีความจำเป็นตามวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลเท่านั้น ตามรายละเอียดที่ได้กำหนดไว้ในนโยบาย ประกาศหรือตามกฎหมายที่เกี่ยวข้อง อาทิ กฎหมายว่าด้วยหลักทรัพย์และตลาดหลักทรัพย์ กฎหมายว่าด้วยบริษัทมหาชน ประมวลรัษฎากร
ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลสิ้นความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้ว บริษัทจะทำการลบ ทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ต่อไป ตามรูปแบบและมาตรฐานการลบทำลายข้อมูลส่วนบุคคลที่กำหนดภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล อย่างไรก็ดีในกรณีที่มีข้อพิพาท การใช้สิทธิหรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคล บริษัทขอสงวนสิทธิในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด
13. มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
บริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งมาตรการป้องกันด้านการบริหารจัดการ (administrative measure) มาตรการป้องกันด้านเทคนิค (technical measure) และมาตรการป้องกันทางกายภาพ (physical measure) เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพพร้อมใช้งานของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
ทั้งนี้ บริษัทจะทบทวนมาตรการดังกล่าว รวมทั้งปรับปรุงและพัฒนามาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป หรือเมื่อมีการเปลี่ยนแปลงในกฎหมายที่บังคับใช้ เพื่อให้การรักษาความมั่นคงปลอดภัยมีความทันสมัย เป็นไปอย่างมีประสิทธิภาพ และสอดคล้องตามกฎหมายเสมอ
14. สิทธิของเจ้าของข้อมูลส่วนบุคคลและการใช้สิทธิ
เจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่กำหนดไว้โดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลดังนี้:
| สิทธิของเจ้าของข้อมูลส่วนบุคคล | รายละเอียด |
|---|---|
| สิทธิในการเพิกถอนความยินยอม (Right to withdraw consent) |
|
| สิทธิในการขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูล (Right to access and retrieve a copy of data) |
|
| สิทธิในการขอให้โอนย้ายข้อมูล (Right to data portability) |
|
| สิทธิในการคัดค้านการประมวลผลข้อมูล (Right to object to Data Processing) |
|
| สิทธิขอให้ลบหรือทำลายข้อมูล (Right to erasure/Right to be forgotten) |
ท่านมีสิทธิขอให้บริษัทดำเนินการลบ ทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ในกรณีต่อไปนี้
|
| สิทธิขอให้ระงับการประมวลผลข้อมูล (Right to restriction of Data Processing) |
ท่านมีสิทธิขอให้บริษัทระงับการประมวลผลข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
|
| สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง (Right to rectification) | ท่านมีสิทธิขอให้มีบริษัทดำเนินการแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน ครบถ้วนสมบูรณ์ หรือไม่ก่อให้เกิดความเข้าใจผิด |
| สิทธิในการร้องเรียน (Right to lodge a complaint) | ท่านมีสิทธิร้องเรียนมายังบริษัทหรือหน่วยงานที่มีอำนาจตามกฎหมาย หากท่านเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของท่าน เป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล |
ท่านสามารถใช้สิทธิดังกล่าวได้ตลอดเวลา อย่างไรก็ดี การใช้สิทธิดังกล่าวของท่านอาจถูกจำกัดภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้อง และอาจมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฎิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิของท่านได้ ในกรณีนี้บริษัทจะแจ้งเหตุผลของการปฎิเสธพร้อมกับคำตอบสนองต่อคำขอใช้สิทธิดังกล่าวต่อไป
15. การเชื่อมต่อเว็บไซต์หรือบริการภายนอก
บริการของบริษัทอาจมีการเชื่อมต่อไปยังเว็บไซต์ หรือบริการของบุคคลที่สาม ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีการประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีเนื้อหาสาระแตกต่างจากนโยบายนี้ บริษัทขอแนะนำให้ท่านศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์ หรือบริการนั้น ๆ เพื่อทราบในรายละเอียดก่อนการเข้าใช้งาน ทั้งนี้ บริษัทไม่มีความเกี่ยวข้อง ไม่มีอำนาจควบคุมถึงมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์ หรือบริการดังกล่าว และไม่สามารถรับผิดชอบต่อเนื้อหา นโยบายความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์ หรือบริการของบุคคลที่สามได้
16. คุกกี้
บริษัทเก็บรวบรวม และใช้คุกกี้ รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ความดูแลของบริษัท หรือบนอุปกรณ์ของท่านตามแต่บริการที่ท่านใช้งานทั้งนี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของบริษัท และเพื่อให้ท่านซึ่งเป็นผู้ใช้งานได้รับความสะดวก และประสบการณ์ที่ดีในการใช้บริการ และข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงระบบสารสนเทศ ให้ตรงกับความต้องการของท่านมากยิ่งขึ้น โดยท่านสามารถตั้งค่า หรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บเบราว์เซอร์ (Web Browser) ของท่าน
17. การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง
บริษัทอาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของบริษัท ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่างๆ เช่น การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็นผู้ให้บริการคลาวด์ (Cloud Services Provider) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น
การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น บริษัทจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่บริษัทมอบหมายในฐานะ ผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่บริษัทมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของบริษัทเท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้
ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการ ประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนี้ บริษัทจะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง ในรูปแบบแล มาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างบริษัทกับผู้ประมวลผลข้อมูลส่วนบุคคล
18. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
บริษัทได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เพื่อทำหน้าที่ตรวจสอบ กำกับ และให้คำแนะนำในการประมวลผลข้อมูลส่วนบุคคล รวมถึงการประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้การดำเนินงานของบริษัทเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลสอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นธรรมและโปร่งใส นอกจากนี้ บริษัทได้กำกับให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ในการรักษาความลับที่ได้ล่วงรู้มาจากการปฏิบัติหน้าที่ในฐานะเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลด้วย
19. โทษของการไม่ปฏิบัติตามนโยบาย
การไม่ปฏิบัติตามนโยบายฉบับนี้อาจมีผลเป็นความผิด และถูกลงโทษทางวินัยตามกฎเกณฑ์ของบริษัท (สำหรับพนักงานหรือผู้ปฏิบัติงานของบริษัท) หรือตามข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (สำหรับผู้ประมวลผลข้อมูลส่วนบุคคล) ทั้งนี้ ตามแต่กรณี และความสัมพันธ์ที่ท่านมีต่อบริษัท และอาจได้รับโทษตามที่กำหนดโดยกฎหมายคุ้มครองข้อมูลส่วนบุคคล
20. การร้องเรียนต่อหน่วยงานกำกับดูแล
ในกรณีที่พบว่า บริษัทไม่ได้ปฏิบัติตามหรือฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานที่มีอำนาจกำกับดูแลตามกฎหมาย ทั้งนี้ ก่อนการร้องเรียนดังกล่าว บริษัทขอให้เจ้าของข้อมูลส่วนบุคคลติดต่อมายังบริษัท เพื่อให้บริษัทมีโอกาสได้รับทราบข้อเท็จจริงและได้ชี้แจงในประเด็นต่าง ๆ รวมถึงจัดการแก้ไขข้อกังวลก่อนในโอกาสแรก
21. การดำเนินการต่อข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม
บริษัทมีสิทธิประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่บริษัทได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในส่วนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลมีผลใช้บังคับต่อไปตามวัตถุประสงค์เดิม หากเจ้าของข้อมูลส่วนบุคคลไม่ประสงค์ที่จะให้บริษัทประมวลผลข้อมูลส่วนบุคคลดังกล่าวต่อไป เจ้าของข้อมูลส่วนบุคคลสามารถแจ้งบริษัทเพื่อขอถอนความยินยอมของเจ้าของข้อมูลเมื่อใดก็ได้
22. การเปลี่ยนแปลงแก้ไขนโยบาย
บริษัทจะพิจารณาทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคลเป็นประจำเพื่อให้สอดคล้องกับแนวทาง ปฏิบัติ และกฎหมาย ข้อบังคับที่เกี่ยวข้อง ทั้งนี้ หากมีการเปลี่ยนแปลงแก้ไข บริษัทจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบผ่านช่องทางเว็บไซต์ของบริษัท โดยมีวันที่มีผลบังคับใช้ของแต่ละฉบับแก้ไขกำกับอยู่ อย่างไรก็ดี บริษัทขอแนะนำให้ท่านตรวจสอบเพื่อรับทราบนโยบายฉบับใหม่อย่างสม่ำเสมอ
23. การติดต่อสอบถาม
ในกรณีที่ท่านมีข้อสงสัยหรือข้อเสนอแนะเกี่ยวกับนโยบายหรือการปฏิบัติตามนโยบายฉบับนี้ บริษัทยินดีตอบข้อสงสัย และรับฟังข้อเสนอแนะ โดยท่านสามารถติดต่อกับบริษัทได้ที่
ติดต่อบริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
สถานที่ติดต่อ: บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) 99/1 หมู่ 4 ตำบลแคราย อำเภอกระทุ่มแบน จังหวัดสมุทรสาคร 74110
อีเมล: DPO@nrinstant.com
หมายเลขโทรศัพท์: 034849576-80
24. กฎหมายที่ใช้บังคับ
ท่านตกลงและรับทราบว่านโยบายฉบับนี้อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาชี้ขาดข้อพิพาทใด ๆ ที่อาจเกิดขึ้นจากนโยบายฉบับนี้
นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ได้รับการทบทวนและอนุมัติจากคณะกรรมการ บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) ในการประชุมครั้งที่ 5/2569 เมื่อวันที่ 15 พฤษภาคม 2569 โดยให้มีผลบังคับใช้วันที่ 16 พฤษภาคม 2569 เป็นต้นไป
ประกาศ ณ วันที่ 16 พฤษภาคม 2569
สำหรับการใช้งานกล้องวงจรปิด (CCTV)
บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) ซึ่งต่อไปนี้จะเรียกว่า "บริษัท" ได้จัดให้มีการติดตั้งกล้องวงจรปิด (CCTV) ทั้งภายในและบริเวณโดยรอบของบริษัทเพื่อการรักษาความมั่นคงปลอดภัยของสถานที่ ทรัพย์สิน ของบริษัท รวมทั้งการรักษาความปลอดภัยในชีวิต ร่างกายและสุขภาพของบุคคลใด ๆ ก็ตามที่อยู่ภายในและบริเวณโดยรอบของบริษัท บริษัทให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อให้การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลโดยการใช้กล้องวงจรปิด เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อแจ้งข้อมูลให้เจ้าของข้อมูลส่วนบุคคลทราบเกี่ยวกับ สิทธิ หน้าที่ ตลอดจนเงื่อนไขต่าง ๆ ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท
1. คำนิยาม
| คำศัพท์ | คำนิยาม |
|---|---|
| กฎหมายคุ้มครองข้อมูลส่วนบุคคล | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงฉบับแก้ไขเพิ่มเติม กฎหมาย กฎหมายลำดับรอง กฎ ระเบียบ ประกาศ หรือคำสั่ง ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล |
| ข้อมูลส่วนบุคคล | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| ข้อมูลส่วนบุคคลอ่อนไหว | ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
| เจ้าของข้อมูลส่วนบุคคล | บุคคลธรรมดาซึ่งถูกทำให้ระบุตัวตนได้ด้วยข้อมูลส่วนบุคคล ไม่ว่าโดยทางตรงหรือทางอ้อม |
| การประมวลผล/ประมวลผล | การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย |
| นโยบาย | นโยบายความเป็นส่วนตัว บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) สำหรับการใช้งานกล้องวงจรปิด (CCTV) |
2. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
ในการเก็บรวบรวม และเก็บรักษาข้อมูลส่วนบุคคลบริษัท จะใช้วิธีการที่ชอบด้วยกฎหมายและจำกัดเพียงเท่าที่จำเป็นตามวัดถุประสงค์การดำเนินงานของบริษัท ดังต่อไปนี้
| ประเภท | ตัวอย่างข้อมูลส่วนบุคคล |
|---|---|
| ข้อมูลที่ใช้ระบุตัวตนและคุณลักษณะบุคคล |
|
อย่างไรก็ดี บริษัทจะไม่ติดตั้งกล้องวงจรปิดในพื้นที่ที่อาจล่วงละเมิดสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลเกินสมควร ได้แก่ ห้องน้ำ สถานที่เพื่อใช้ในการพักผ่อนของผู้ปฏิบัติงาน เป็นต้น
3. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
บริษัทจะประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ต่าง ๆ โดนอาศัยฐานทางกฎหมาย ดังต่อไปนี้
| ลำดับ | ฐานทางกฎหมาย | การใช้ข้อมูลส่วนบุคคล |
|---|---|---|
| 1 | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) | เป็นการดำเนินงานที่จำเป็นของบริษัทภายใต้ประโยชน์โดยชอบตามกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผล และไม่ละเมิดต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลเกินควร |
| 2 | การปฏิบัติตามกฎหมาย (Legal Obligation) | เป็นการปฏิบัติตามกฎหมาย กฎระเบียบ หรือคำสั่งของหน่วยงานรัฐที่ทำหน้าที่ในการกำกับดูแลบริษัท ซึ่งรวมไปถึงการดำเนินการที่จำเป็นในกระบวนการทางกฎหมาย |
| 3 | ประโยชน์สำคัญต่อชีวิต (Vital Interest) | เป็นการดำเนินงานเพื่อปกป้องประโยชน์สำคัญของเจ้าของข้อมูลส่วนบุคคล อาทิ การปกป้องอันตรายต่อชีวิต ร่างกาย และสุขภาพ ของเจ้าของข้อมูลส่วนบุคคล |
| ลำดับ | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| 1 | เพื่อการรักษาความมั่นคงปลอดภัยของอาคาร สิ่งอำนวยความสะดวก และทรัพย์สินภายในและบริเวณโดยรอบของบริษัท | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 2 | เพื่อการรักษาความปลอดภัยและปกป้องอันตรายในชีวิต ร่างกายและสุขภาพของเจ้าของข้อมูลส่วนบุคคลรวมไปถึงการรักษาความปลอดภัยในทรัพย์สินของเจ้าของข้อมูลส่วนบุคคลภายในและบริเวณโดยรอบของบริษัท | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) ประโยชน์สำคัญต่อชีวิต (Vital Interest) |
| 3 | เพื่อสนับสนุนหน่วยงานที่เกี่ยวข้องในการบังคับใช้กฎหมายเพื่อการยับยั้ง ป้องกัน สืบค้น และดำเนินคดีตามกฎหมาย | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 4 | เพื่อการให้ความช่วยเหลือในกระบวนการระงับข้อพิพาทซึ่งเกิดขึ้นในระหว่างที่มีกระบวนการทางวินัยหรือกระบวนการร้องทุกข์ | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 5 | เพื่อการให้ความช่วยเหลือในกระบวนการสอบสวน หรือกระบวนการเกี่ยวกับการส่งเรื่องร้องเรียน รวมไปถึงกระบวนการริเริ่มหรือป้องกันการฟ้องร้องทางศาล เช่น การใช้สิทธิเรียกร้องทางคดีแรงงาน | การปฏิบัติตามกฎหมาย (Legal Obligation) |
4. การเปิดเผยข้อมูลส่วนบุคคล
- 4.1 โดยทั่วไป บริษัทจะเก็บรักษาข้อมูลในกล้องวงจรปิดเป็นความลับและจะไม่ดำเนินการส่งต่อหรือเปิดเผยข้อมูลเหล่านั้น เว้นแต่ กรณีที่บริษัทมีความจำเป็นเพื่อให้สามารถบรรลุวัตถุประสงค์ตามที่ได้ระบุในนโยบายฉบับนี้ บริษัทอาจส่งต่อหรือเปิดเผยข้อมูลในกล้องวงจรปิดแก่บุคคลหรือนิติบุคคล ดังต่อไปนี้
หน่วยงานภายในบริษัท บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้แก่ บุคลากรของบริษัท หน่วยงานภายในบริษัท โดยหมายรวมถึง ผู้บริหาร หัวหน้างาน พนักงาน อย่างไรก็ดี บริษัทจะจำกัดแค่เฉพาะผู้ที่เกี่ยวข้องและมีความจำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลเท่านั้น
ผู้ให้บริการ บริษัทอาจว่าจ้างผู้ให้บริการภายนอก (Outsource) เป็นผู้ให้บริการแทนหรือสนับสนุนการดำเนินธุรกิจของบริษัท ซึ่งรวมไปถึง ตัวแทน ผู้รับจ้าง ผู้รับจ้างช่วง ของผู้ให้บริการนั้นด้วย เช่น ผู้ให้บริการด้านความปลอดภัย เพื่อสร้างความมั่นใจในการรักษาความปลอดภัยของบริษัท รวมไปถึงผู้ให้บริการด้านกล้องวงจรปิด เพื่อวัตถุประสงค์ในการซ่อมและปรับปรุงระบบเฉพาะในกรณีที่บริษัทอนุญาตแล้วเท่านั้น
หน่วยงานรัฐที่มีอำนาจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ให้แก่หน่วยงานราชการ หน่วยงานที่ทำหน้าที่กำกับดูแลบริษัท หรือหน่วยงานอื่นที่มีอำนาจหน้าที่ตามที่กฎหมายกำหนด เพื่อการปฏิบัติตามกฎหมาย อาทิ สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ศาล รวมทั้งเจ้าหน้าที่รัฐที่มีอำนาจในการเข้าถึงข้อมูลส่วนบุคคล เช่น เจ้าหน้าที่ตำรวจอัยการ
- 4.2 บริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และจะดำเนินการเพื่อป้องกันไม่ให้มีการประมวลผลข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงจะดำเนินการภายใต้วัตถุประสงค์ที่กำหนดในนโยบายฉบับนี้หรือวัตถุประสงค์อื่นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้กระทำได้เท่านั้น โดยในกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล บริษัทจะแจ้งและขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเป็นการเฉพาะ
5. การส่งต่อหรือโอนข้อมูลไปยังต่างประเทศ
- 5.1 โดยทั่วไปแล้วบริษัทไม่มีความประสงค์ที่จะส่งต่อหรือโอนข้อมูลในกล้องวงจรไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ ทั้งนี้ หากบริษัทมีความจำเป็นต้องส่งหรือโอนข้อมูลดังกล่าว บริษัทจะดำเนินการขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเป็นการเฉพาะ
- 5.2 ในการส่งต่อหรือโอนข้อมูลดังกล่าว บริษัทจะจัดให้มีมาตรการการคุ้มครองและรักษาความปลอดภัยที่เหมาะสม และจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทจะดำเนินการตามมาตรการเพื่อทำให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอหรือเป็นไปตามเงื่อนไขตามที่กฎหมายกำหนดอื่นๆ
- 5.3 บริษัทอาจเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชั่นของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ บริษัทจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคล และจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม
6. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
- 6.1 บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลในระยะเวลาเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่บริษัทดำเนินความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคลและแนวปฏิบัติต่อข้อมูลส่วนบุคคลแต่ละประเภท โดยปกติบริษัทจะเก็บข้อมูลส่วนบุคคลจากกล้องวงจรปิดเป็นระยะเวลาไม่เกิน 90 วันนับแต่วันที่ได้มีการจัดเก็บข้อมูลดังกล่าว
- 6.2 เมื่อพ้นระยะเวลาที่ระบุไว้ข้างต้นหรือเมื่อหมดความจำเป็นที่จะต้องเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้โดยทันที ทั้งนี้ บริษัท อาจเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วนเกินกว่าระยะเวลาที่ระบุไว้ข้างต้น เพื่อการปฏิบัติตามกฎหมายหรือคำสั่งโดยชอบด้วยกฎหมาย
- 6.3 บริษัท ได้จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาในการเก็บรักษาหรือหมดความจำเป็นในการประมวลผลข้อมูลนั้น
7. มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 7.1 บริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งมาตรการป้องกันด้านการบริหารจัดการ (administrative measure) มาตรการป้องกันด้านเทคนิค (technical measure) และมาตรการป้องกันทางกายภาพ (physical measure) เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพพร้อมใช้งานของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูลส่วนบุคคลจากผู้ที่ไม่มีสิทธิหรือหน้าที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้น
- 7.2 บริษัทได้มีการบังคับใช้มาตรการรักษาความมั่นคงปลอดภัยภายในบริษัท อย่างเข้มงวด โดยใช้เทคโนโลยีและขั้นตอนการรักษาความมั่นคงปลอดภัย อาทิ การจัดให้มีมาตรการควบคุมการเข้าถึงและใช้งานข้อมูลส่วนบุคคล โดยกำหนดสิทธิการเข้าถึงข้อมูล สิทธิในการอนุญาตให้ผู้ที่ได้รับมอบหมายให้เข้าถึงข้อมูลได้ รวมทั้งการจัดให้มีมาตรการสำหรับการตรวจสอบย้อนหลัง เพื่อให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและบุคคลเหล่านี้ได้รับการฝึกอบรมและมีความตระหนักรู้เกี่ยวกับความสำคัญของการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 7.3 บริษัทจะจัดให้มีการทบทวนมาตรการดังกล่าว รวมทั้งปรับปรุงและพัฒนามาตรการดังกล่าว เมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้การรักษาความมั่นคงปลอดภัยข้อมูลเป็นไปอย่างมีประสิทธิภาพ
8. สิทธิของเจ้าของข้อมูลส่วนบุคคลและการใช้สิทธิในการดำเนินการดังกล่าว
- 8.1 ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่ระบุ ดังต่อไปนี้
| สิทธิของเจ้าของ ข้อมูลส่วนบุคคล | รายละเอียด |
|---|---|
| สิทธิในการขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูล (Right to access and retrieve a copy of data) |
|
| สิทธิในการขอให้โอนย้ายข้อมูล (Right to data portability) |
|
| สิทธิในการคัดค้าน การประมวลผลข้อมูล (Right to object to Data Processing) |
|
| สิทธิขอให้ลบหรือทำลายข้อมูล (Right to erasure/Right to be forgotten) | เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทดำเนินการลบ ทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวเจ้าของข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
|
| สิทธิขอให้ระงับการ ประมวลผลข้อมูล (Right to restriction of Data Processing) | เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทระงับการประมวลผลข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
|
| สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง (Right to rectification) | เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้มีบริษัทดำเนินการแก้ไขข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้ถูกต้อง เป็นปัจจุบัน ครบถ้วนสมบูรณ์ หรือไม่ก่อให้เกิดความเข้าใจผิด |
| สิทธิในการร้องเรียน (Right to lodge a complaint) | เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนมายังบริษัทหรือหน่วยงานที่มีอำนาจตามกฎหมาย หากเจ้าของข้อมูลส่วนบุคคลเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล |
- 8.2 เจ้าของข้อมูลส่วนบุคคลอาจใช้สิทธิข้างต้นของเจ้าของข้อมูลส่วนบุคคลได้ตลอดเวลา โดยติดต่อผ่านช่องทางการติดต่อตามข้อ 10. เพื่อดำเนินการแจ้งขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- 8.3 การใช้สิทธิดังกล่าวของเจ้าของข้อมูลส่วนบุคคลอาจถูกจำกัดภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้อง และอาจมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฎิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีนี้บริษัทจะแจ้งเหตุผลของการปฎิเสธพร้อมกับคำตอบสนองต่อคำขอใช้สิทธิดังกล่าว
9. การแก้ไขเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
บริษัทอาจมีการปรับปรุงแก้ไขเพิ่มเติมนโยบายความเป็นส่วนตัวได้ตามความเหมาะสมและสถานการณ์ที่เปลี่ยนแปลงไป โดยหากเป็นการเปลี่ยนแปลงในสาระสำคัญของนโยบายฉบับนี้ บริษัทจะแจ้งการปรับปรุงแก้ไขเพิ่มเติมนโยบายให้เจ้าของข้อมูลส่วนบุคคลทราบ และขอให้เจ้าของข้อมูลส่วนบุคคลตรวจสอบนโยบายฉบับนี้เป็นประจำ
10. ช่องทางการติดต่อ
หากเจ้าของข้อมูลส่วนบุคคลมีข้อสงสัยเกี่ยวกับเนื้อหาในนโยบายความเป็นส่วนตัวฉบับนี้ หรือต้องการข้อมูลเพิ่มเติมเกี่ยวกับแนวปฏิบัติของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือมีความประสงค์ต้องการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล กรุณาติดต่อผ่านช่องทางการติดต่อดังนี้
ติดต่อบริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
สถานที่ติดต่อ: บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) 99/1 หมู่ 4 ตำบลแคราย อำเภอกระทุ่มแบน จังหวัดสมุทรสาคร 74110
อีเมล: DPO@nrinstant.com
หมายเลขโทรศัพท์: 034849576-80
11. กฎหมายที่ใช้บังคับ
เจ้าของข้อมูลส่วนบุคคลตกลงและรับทราบว่านโยบายฉบับนี้อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาชี้ขาดข้อพิพาทใด ๆ ที่อาจเกิดขึ้นจากนโยบายฉบับนี้
นโยบายฉบับนี้ได้รับการอนุมัติจากคณะกรรมการบริษัท ในการประชุมครั้งที่ 9/2568 เมื่อวันที่ 15 พฤษภาคม 2568 ทั้งนี้ให้มีผลบังคับใช้ตั้งแต่วันที่ 16 พฤษภาคม 2568 เป็นต้นไป
สำหรับลูกค้าของบริษัท
บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) ซึ่งต่อไปนี้จะเรียกว่า "บริษัท" ให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าและบุคคลธรรมดาที่เกี่ยวข้องหรือเป็นตัวแทนของลูกค้าที่กระทำการแทนหรือในนาม เช่น ผู้บริหาร ผู้ถือหุ้น กรรมการผู้มีอำนาจลงนาม ผู้รับมอบอำนาจ ผู้รับมอบอำนาจช่วง พนักงาน ลูกจ้าง และตัวแทนของนิติบุคคล (“ท่าน”) เพื่อให้การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อแจ้งข้อมูลให้ท่านทราบเกี่ยวกับ สิทธิ หน้าที่ ตลอดจนเงื่อนไขต่าง ๆ ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท
1. คำนิยาม
| คำศัพท์ | คำนิยาม |
|---|---|
| กฎหมายคุ้มครองข้อมูลส่วนบุคคล | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงฉบับแก้ไขเพิ่มเติม กฎหมาย กฎหมายลำดับรอง กฎ ระเบียบ ประกาศ หรือคำสั่ง ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล |
| ข้อมูลส่วนบุคคล | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| ข้อมูลส่วนบุคคลอ่อนไหว | ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
| เจ้าของข้อมูลส่วนบุคคล | บุคคลธรรมดาซึ่งถูกทำให้ระบุตัวตนได้ด้วยข้อมูลส่วนบุคคล ไม่ว่าโดยทางตรงหรือทางอ้อม |
| การประมวลผล/ประมวลผล | การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย |
| นโยบาย | นโยบายความเป็นส่วนตัว บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) สำหรับลูกค้าของบริษัท |
| ลูกค้า | บุคคลธรรมดาหรือนิติบุคคลที่เป็นเป้าหมายของบริษัทในการดำเนินงานขายสินค้าหรือบริการของบริษัท ไม่ว่าจะมีการดำเนินการชำระค่าสินค้าหรือบริการแล้วหรืออาจมีการดำเนินการเช่นว่านั้นในอนาคตก็ตาม รวมทั้งบุคคลใด ๆ ที่มีลักษณะคล้ายคลึงกัน เช่น ผู้เข้าร่วมกิจกรรม ผู้ติดต่อขอรับบริการจากบริษัท ผู้ใช้บริการเว็บไซต์ ผู้ตอบแบบสอบถามเกี่ยวกับสินค้าหรือบริการของบริษัท เป็นต้น |
2. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
ในการเก็บรวบรวมและเก็บรักษาข้อมูลส่วนบุคคลบริษัท จะใช้วิธีการที่ชอบด้วยกฎหมายและจำกัดเพียงเท่าที่จำเป็นตามวัดถุประสงค์การดำเนินงานของบริษัท ดังต่อไปนี้
| ประเภท | ตัวอย่างข้อมูลส่วนบุคคล |
|---|---|
| ข้อมูลที่ใช้ระบุตัวตนและคุณลักษณะบุคคล | คำนำหน้า ชื่อ นามสกุล อายุ วันเดือนปีเกิด เพศ สัญชาติ เลขประจำตัวประชาชน เลขประจำตัวผู้เสียภาษี รูปภาพ ลายมือชื่อ |
| ข้อมูลสำหรับการติดต่อ | ที่อยู่ อีเมล หมายเลขโทรศัพท์ สถานที่ทำงาน Line ID |
| ที่อยู่ อีเมล หมายเลขโทรศัพท์ สถานที่ทำงาน Line ID | แผนก ตำแหน่งงาน |
| ข้อมูลทางการเงิน | เงินเดือน หมายเลขบัญชีธนาคาร |
| ข้อมูลที่ใช้ประกอบเป็นหลักฐานในการทำนิติกรรมต่าง ๆ | นามบัตร สำเนาบัตรประจำตัวประชาชน |
| ข้อมูลทางเทคนิค | IP Address, MAC Address |
| ข้อมูลอื่นๆ |
|
โดยทั่วไปแล้ว บริษัทไม่มีความประสงค์ในการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว เช่น ข้อมูลศาสนาและหมู่โลหิตที่ปรากฏอยู่บนหน้าบัตรประจำตัวประชาชนของท่าน หากท่านมอบสำเนาบัตรประชาชนให้แก่บริษัทซึ่งปรากฎข้อมูลดังกล่าว บริษัทขอให้ท่านปกปิดข้อมูลดังกล่าวก่อนส่งมอบให้กับบริษัท หากท่านมิได้ปกปิดข้อมูลข้างต้น ถือว่าท่านยินยอมให้บริษัทดำเนินการปกปิดข้อมูลเหล่านั้น
3. แหล่งที่มาของข้อมูลส่วนบุคคล
บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากแหล่งต่าง ๆ ดังต่อไปนี้
| ประเภท | ตัวอย่างแหล่งข้อมูลส่วนบุคคลที่เก็บรวบรวม |
|---|---|
| ข้อมูลส่วนบุคคลที่ได้รับจากท่านโดยตรง |
|
| ข้อมูลส่วนบุคคลที่ได้รับโดยอัตโนมัติ |
|
| ข้อมูลส่วนบุคคลที่ได้รับจากแหล่งอื่นหรือบุคคลที่สาม |
|
ในกรณีที่ท่านตกลงและยินยอมให้ข้อมูลส่วนบุคคลใด ๆ ที่เกี่ยวข้องกับบุคคลภายนอกให้แก่บริษัท ท่านรับรองและรับประกันความถูกต้องของข้อมูลส่วนบุคคลนั้น และท่านรับรองและรับประกันว่าท่านได้แจ้งให้บุคคลเหล่านั้นทราบอย่างครบถ้วนแล้วเกี่ยวกับนโยบายฉบับนี้
4. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
บริษัทจะประมวลผลข้อมูลส่วนบุคคลของท่าน เพื่อวัตถุประสงค์ต่าง ๆ โดนอาศัยฐานทางกฎหมาย ดังต่อไปนี้
| ลำดับ | ฐานทางกฎหมาย | การใช้ข้อมูลส่วนบุคคล |
|---|---|---|
| 1 | การปฏิบัติตามสัญญา (Performance of Contract) | เป็นการจำเป็นเพื่อปฏิบัติตามสัญญา ซึ่งท่านเป็นคู่สัญญากับบริษัท รวมทั้งเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญา |
| 2 | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) | เป็นการดำเนินงานที่จำเป็นของบริษัทภายใต้ประโยชน์โดยชอบตามกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผล และไม่ละเมิดต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลเกินควร |
| 3 | การปฏิบัติตามกฎหมาย (Legal Obligation) | เป็นการปฏิบัติตามกฎหมาย กฎระเบียบ หรือคำสั่งของหน่วยงานรัฐที่ทำหน้าที่ในการกำกับดูแลบริษัท |
| 4 | ประโยชน์สำคัญต่อชีวิต (Vital Interest) | เป็นการดำเนินงานเพื่อปกป้องประโยชน์สำคัญของเจ้าของข้อมูลส่วนบุคคล เช่น การปกป้องอันตรายต่อชีวิต ร่างกาย และสุขภาพ ของเจ้าของข้อมูลส่วนบุคคล |
| 5 | ความยินยอม (Consent) | ในกรณีที่บริษัทมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลอ่อนไหว ซึ่งไม่สามารถอาศัยฐานทางกฎหมายตามที่ระบุไว้ข้างต้นได้ บริษัทจะแจ้งและขอความยินยอมโดยชัดแจ้งเป็นการเฉพาะจากท่าน |
| ลำดับ | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| 1 | เพื่อการติดต่อสื่อสารและดำเนินการต่าง ๆ รวมทั้งการจัดการภายในก่อนการเข้าทำท่าน เช่น การจัดทำใบเสนอราคา การขึ้นทะเบียนลูกค้า |
|
| 2 | เพื่อการปฏิบัติตามสัญญา การดำเนินการตามคำสั่งซื้อรวมถึงการเปิดเผยข้อมูลให้แก่บุคคลภายนอกเพื่อดำเนินการเช่นว่านั้น การประสานงานกับท่าน การเรียกเก็บค่าสินค้าและบริการ การบริการหลังการขาย |
|
| 3 | เพื่อการดำเนินการอันเกี่ยวข้องกับการดำเนินธุรกิจของบริษัท การดำเนินการตามสัญญาระหว่างบริษัทและท่าน การติดต่อดำเนินการกับหน่วยงานภายนอกอื่นๆที่เกี่ยวข้องเพื่อวัตถุประสงค์แห่งสัญญา |
|
| 4 | เพื่อทำการตลาด ติดต่อสื่อสารเกี่ยวกับกิจกรรมทางการตลาดที่วิเคราะห์แล้วเห็นว่าตรงกับความต้องการของท่าน การนำเสนอข้อมูลทางการตลาด ข้อมูลสินค้าและบริการ รวมทั้งการจัดการต่าง ๆ ที่เกี่ยวข้องกับการบริการลูกค้า การจัดโครงการส่งเสริมการขาย | ความยินยอม (Consent) |
| 5 | เพื่อเก็บข้อมูลและวิเคราะห์ข้อมูลพฤติกรรมของท่านและสำรวจความพึงพอใจ เพื่อเป็นฐานข้อมูลในการบริหารความสัมพันธ์ เพื่อปรับปรุงการให้บริการและออกแบบกิจกรรมทางการตลาดให้สอดคล้องกับท่านมากยิ่งขึ้น | ความยินยอม (Consent) |
| 6 | เพื่อเก็บข้อมูลการติดต่อสื่อสารในระบบฐานข้อมูลเพื่อการติดต่อและสร้างโอกาสทางธุรกิจในอนาคต รวมทั้งเพื่อใช้ข้อมูลในการติดต่อประสานงานต่าง ๆ ที่เกี่ยวข้องกับบริษัท | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 7 | เพื่อการปฏิบัติตามกฎหมายที่ใช้บังคับกับการดำเนินธุรกิจของบริษัท เช่น การออกหนังสือรับรองการหักภาษี ณ ที่จ่าย การออกใบกำกับภาษี การเปิดเผยข้อมูลทางบัญชีให้ผู้ตรวจสอบบัญชี | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 8 | เพื่อการบริหารจัดการด้านเทคโนโลยีสารสนเทศ เช่น การสำรองข้อมูล การบันทึกข้อมูลการเข้าใช้งาน ข้อมูลการจราจรบนระบบเทคโนโลยีสารสนเทศของบริษัท |
|
| 9 | เพื่อดูแลรักษาความปลอดภัยของชีวิต ร่างกาย สุขภาพและทรัพย์สินของท่านภายในและบริเวณโดยรอบของบริษัท เช่น การสอดส่องดูแลด้วยกล้องวงจรปิด (CCTV) |
|
| 10 | เพื่อการก่อตั้งสิทธิเรียกร้องทางกฎหมาย การปฏิบัติหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือการยกขึ้นสู้ซึ่งสิทธิเรียกร้องตามกฎหมาย ซึ่งรวมถึงแต่ไม่จำกัดเพียงการดำเนินคดี การบังคับคดี หรือการดำเนินการใด ๆ ตามกระบวนการทางกฎหมาย | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 11 | เพื่อปฏิบัติตามกฎหมาย กฎระเบียบ ข้อบังคับ ทั้งในประเทศและต่างประเทศที่ใช้บังคับ และเพื่อปฏิบัติตามคำสั่งของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายหรือเจ้าพนักงานที่มีอำนาจหน้าที่ตามกฎหมาย | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 12 | เพื่อบริหารความเสี่ยง การเฝ้าระวัง ตรวจสอบ และรายงานเกี่ยวกับอาชญากรรมทางการเงิน การทุจริต การประพฤติโดยมิชอบ และอาชญากรรมอื่นๆ | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
5. การเปิดเผยข้อมูลส่วนบุคคล
- 5.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านไปยังบุคคลภายในและภายนอกบริษัท ดังต่อไปนี้
หน่วยงานภายในบริษัทและบริษัทในเครือ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ บุคลากรของบริษัท หน่วยงานภายในบริษัท โดยหมายรวมถึง ผู้บริหาร หัวหน้างาน พนักงาน รวมทั้งบริษัทในเครือ อย่างไรก็ดี บริษัทจะจำกัดแค่เฉพาะผู้ที่เกี่ยวข้องและมีความจำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลเท่านั้น
พันธมิตรทางธุรกิจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่พันธมิตรทางธุรกิจในเชิงการบริหารจัดการในเชิงการปฏิบัติงานของบริษัท ซึ่งรวมไปถึง ตัวแทน ผู้รับมอบอำนาจ ขององค์กรนั้นด้วย เช่น ธนาคาร สถาบันการเงิน บริษัทประกันภัย เป็นต้น
ผู้ให้บริการ บริษัทอาจว่าจ้างผู้ให้บริการภายนอก (Outsource) เป็นผู้ให้บริการแทนหรือสนับสนุนการดำเนินธุรกิจของบริษัทและการให้บริการแก่ลูกค้า ซึ่งรวมไปถึง ตัวแทน ผู้รับจ้าง ผู้รับจ้างช่วง ของผู้ให้บริการนั้นด้วย เช่น ผู้ให้บริการจัดการเว็บไซต์และสื่อสารสนเทศ ผู้ให้บริการด้านขนส่ง ผู้ให้บริการด้านการประชาสัมพันธ์
ที่ปรึกษาวิชาชีพ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ ผู้ตรวจสอบบัญชี ผู้ตรวจสอบการบริหารงานของบริษัท ที่ปรึกษาในด้านต่าง ๆ ผู้ให้บริการทางวิชาชีพและผู้เชี่ยวชาญอื่นใดทั้งภายในและภายนอกบริษัท เพื่อสนับสนุนการดำเนินธุรกิจของบริษัท
หน่วยงานรัฐที่มีอำนาจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านหน่วยงานราชการ หน่วยงานที่ทำหน้าที่กำกับดูแลบริษัท หรือหน่วยงานอื่นที่มีอำนาจหน้าที่ตามที่กฎหมายกำหนด เพื่อการปฏิบัติตามกฎหมาย เช่น กรมสรรพากร กรมศุลกากร กรมสรรพสามิต สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ศาล รวมทั้งเจ้าหน้าที่รัฐที่มีอำนาจในการเข้าถึงข้อมูลส่วนบุคคล เช่น เจ้าหน้าที่ตำรวจ อัยการ
สื่อสาธารณะ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์บนสื่อสาธารณะ ไม่ว่าจะเป็นในรูปแบบสารสนเทศหรือไม่ก็ตาม ซึ่งบุคคลทั่วไปสามารถเข้าถึงได้ ไม่ว่าจะเป็นโซเชียลมีเดียหรือช่องทางการสื่อสารของบริษัท หรือเป็นเว็บไซต์ของหน่วยงานรัฐที่มีอำนาจที่เกี่ยวข้อง
- 5.2 บริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลส่วนบุคคลของท่านอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และจะดำเนินการเพื่อป้องกันไม่ให้มีการประมวลผลข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงจะดำเนินการภายใต้วัตถุประสงค์ที่กำหนดในนโยบายฉบับนี้หรือวัตถุประสงค์อื่นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้กระทำได้เท่านั้น โดยในกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ต้องขอความยินยอมจากท่าน บริษัทจะแจ้งและขอความยินยอมจากท่านเป็นการเฉพาะ
6. การส่งต่อหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
- 6.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ ทั้งนี้ หากมีความจำเป็นที่บริษัทจะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ บริษัทจะแจ้งและขอความยินยอมโดยชัดแจ้งจากท่านสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเป็นการเฉพาะ
- 6.2 ในการส่งต่อหรือโอนข้อมูลดังกล่าว บริษัทจะจัดให้มีมาตรการการคุ้มครองและรักษาความปลอดภัยที่เหมาะสม และจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทจะดำเนินการตามมาตรการเพื่อทำให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอหรือเป็นไปตามเงื่อนไขตามที่กฎหมายกำหนดอื่นๆ
- 6.3 บริษัทอาจเก็บข้อมูลส่วนบุคคลของท่านบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชั่นของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของของท่าน ทั้งนี้ บริษัทจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคล และจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม
7. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
- 7.1 บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของท่านในระยะเวลาเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่บริษัทดำเนินความสัมพันธ์กับท่านและแนวปฏิบัติต่อข้อมูลส่วนบุคคลแต่ละประเภท โดยปกติบริษัทจะเก็บข้อมูลส่วนบุคคลของท่านเป็นระยะเวลาไม่เกิน 10 ปีนับแต่วันที่ลูกค้ายุติความสัมพันธ์
- 7.2 เมื่อพ้นระยะเวลาที่ระบุไว้ข้างต้นหรือเมื่อหมดความจำเป็นที่จะต้องเก็บรักษาข้อมูลส่วนบุคคลของท่าน บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้โดยทันที ทั้งนี้ บริษัท อาจเก็บรักษาข้อมูลส่วนบุคคลของท่านทั้งหมดหรือบางส่วนเกินกว่าระยะเวลาที่ระบุไว้ข้างต้น เพื่อการปฏิบัติตามกฎหมายหรือคำสั่งโดยชอบด้วยกฎหมาย
- 7.3 บริษัท ได้จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาในการเก็บรักษาหรือหมดความจำเป็นในการประมวลผลข้อมูลนั้น
8. การประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม
บริษัทมีสิทธิในการประมวลผลข้อมูลส่วนบุคคลของท่านที่บริษัทได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับต่อไปตามวัตถุประสงค์เดิม หากท่านไม่ประสงค์ที่จะให้บริษัท ดำเนินการประมวลผลข้อมูลส่วนบุคคลดังกล่าวต่อไป ท่านสามารถขอถอนความยินยอมของท่านเมื่อใดก็ได้ โดยเงื่อนไขของการถอนความยินยอมเป็นไปตามข้อ 10.2
9. มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.1 Tบริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งมาตรการป้องกันด้านการบริหารจัดการ (administrative measure) มาตรการป้องกันด้านเทคนิค (technical measure) และมาตรการป้องกันทางกายภาพ (physical measure) เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพพร้อมใช้งานของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูลส่วนบุคคลจากผู้ที่ไม่มีสิทธิหรือหน้าที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้น
- 9.2 บริษัทได้มีการบังคับใช้มาตรการรักษาความมั่นคงปลอดภัยภายในบริษัท อย่างเข้มงวด โดยใช้เทคโนโลยีและขั้นตอนการรักษาความมั่นคงปลอดภัย เช่น การจัดให้มีมาตรการควบคุมการเข้าถึงและใช้งานข้อมูลส่วนบุคคล โดยกำหนดสิทธิการเข้าถึงข้อมูล สิทธิในการอนุญาตให้ผู้ที่ได้รับมอบหมายให้เข้าถึงข้อมูลได้ รวมทั้งการจัดให้มีมาตรการสำหรับการตรวจสอบย้อนหลัง เพื่อให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลของท่านและบุคคลเหล่านี้ได้รับการฝึกอบรมและมีความตระหนักรู้เกี่ยวกับความสำคัญของการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.3 บริษัทจะจัดให้มีการทบทวนมาตรการดังกล่าว รวมทั้งปรับปรุงและพัฒนามาตรการดังกล่าว เมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้การรักษาความมั่นคงปลอดภัยข้อมูลเป็นไปอย่างมีประสิทธิภาพ
10. สิทธิของเจ้าของข้อมูลส่วนบุคคลและการใช้สิทธิในการดำเนินการดังกล่าว
- 10.1 ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่ระบุ ดังต่อไปนี้
| สิทธิของเจ้าของ ข้อมูลส่วนบุคคล | รายละเอียด |
|---|---|
| สิทธิในการเพิกถอน ความยินยอม (Right to withdraw consent) |
|
| สิทธิในการขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูล (Right to access and retrieve a copy of data) |
|
| สิทธิในการขอให้โอนย้ายข้อมูล (Right to data portability) |
|
| สิทธิในการคัดค้าน การประมวลผลข้อมูล (Right to object to Data Processing) |
|
| สิทธิขอให้ลบหรือทำลายข้อมูล (Right to erasure/Right to be forgotten) | ท่านมีสิทธิขอให้บริษัทดำเนินการลบ ทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ในกรณีต่อไปนี้
|
| สิทธิขอให้ระงับการประมวลผลข้อมูล (Right to restriction of Data Processing) | ท่านมีสิทธิขอให้บริษัทระงับการประมวลผลข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
|
| สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง (Right to rectification) | ท่านมีสิทธิขอให้มีบริษัทดำเนินการแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน ครบถ้วนสมบูรณ์ หรือไม่ก่อให้เกิดความเข้าใจผิด |
| สิทธิในการร้องเรียน (Right to lodge a complaint) | ท่านมีสิทธิร้องเรียนมายังบริษัทหรือหน่วยงานที่มีอำนาจตามกฎหมาย หากท่านเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของท่าน เป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล |
- 10.2 ท่านอาจใช้สิทธิข้างต้นของท่านได้ตลอดเวลา โดยติดต่อผ่านช่องทางการติดต่อตามข้อ 14. เพื่อดำเนินการแจ้งขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- 10.3 การใช้สิทธิดังกล่าวของท่านอาจถูกจำกัดภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้อง และอาจมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฎิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิของท่านได้ ในกรณีนี้บริษัทจะแจ้งเหตุผลของการปฎิเสธพร้อมกับคำตอบสนองต่อคำขอใช้สิทธิดังกล่าว
11. การถอนความยินยอมและผลกระทบที่เป็นไปได้จากการถอนความยินยอม
- 11.1 ในกรณีที่บริษัทประมวลผลข้อมูลส่วนบุคคลโดยอาศัยความยินยอม ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมที่ให้ไว้กับบริษัทได้ตลอดเวลา ทั้งนี้ การถอนความยินยอมนี้จะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมไปแล้วโดยชอบ
- 11.2 หากท่านถอนความยินยอมที่ได้ให้ไว้กับบริษัทหรือไม่ยินยอมที่จะให้ข้อมูลกับบริษัท ไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลให้บริษัทไม่สามารถดำเนินการเพื่อบรรลุวัตถุประสงค์ทั้งหมดหรือบางส่วนตามที่กำหนดไว้ในนโยบายฉบับนี้ได้
12. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ
- 12.1 หากท่านเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และต้องการให้ความยินยอมกับ บริษัทในการประมวลผลข้อมูลส่วนบุคคล ท่านจำเป็นต้องดำเนินการเพื่อให้ได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ก่อนที่จะให้ความยินยอมกับบริษัท
- 12.2 ในกรณีที่บริษัทต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ แต่บริษัทไม่ทราบในขณะประมวลผลถึงข้อเท็จจริงดังกล่าว และต่อมาบริษัทได้ทราบถึงข้อเท็จจริงนั้นในภายหลังว่าบริษัทได้ประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมข้างต้น บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้โดยทันที เว้นแต่เป็นกรณีที่บริษัทสามารถประมวลผลข้อมูลส่วนบุคคลดังกล่าวได้โดยอาศัยฐานทางกฎหมายอื่นและไม่ต้องขอความยินยอม
13. การแก้ไขเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
บริษัทอาจมีการปรับปรุงแก้ไขเพิ่มเติมนโยบายความเป็นส่วนตัวได้ตามความเหมาะสมและสถานการณ์ที่เปลี่ยนแปลงไป โดยหากเป็นการเปลี่ยนแปลงในสาระสำคัญของนโยบายฉบับนี้ บริษัทจะแจ้งการปรับปรุงแก้ไขเพิ่มเติมนโยบายให้ท่านทราบ และขอให้ท่านตรวจสอบนโยบายฉบับนี้เป็นประจำ
14. ช่องทางการติดต่อ
หากท่านมีข้อสงสัยเกี่ยวกับเนื้อหาในนโยบายความเป็นส่วนตัวฉบับนี้ หรือต้องการข้อมูลเพิ่มเติมเกี่ยวกับแนวปฏิบัติของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือมีความประสงค์ต้องการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล กรุณาติดต่อผ่านช่องทางการติดต่อดังนี้
ติดต่อบริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
สถานที่ติดต่อ: บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) 99/1 หมู่ 4 ตำบลแคราย อำเภอกระทุ่มแบน จังหวัดสมุทรสาคร 74110
อีเมล: DPO@nrinstant.com
หมายเลขโทรศัพท์: 034849576-80
15. กฎหมายที่ใช้บังคับ
ท่านตกลงและรับทราบว่านโยบายฉบับนี้อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาชี้ขาดข้อพิพาทใด ๆ ที่อาจเกิดขึ้นจากนโยบายฉบับนี้
นโยบายฉบับนี้ได้รับการอนุมัติจากคณะกรรมการบริษัท ในการประชุมครั้งที่ 9/2568 เมื่อวันที่ 15 พฤษภาคม 2568 ทั้งนี้ให้มีผลบังคับใช้ตั้งแต่วันที่ 16 พฤษภาคม 2568 เป็นต้นไป
สำหรับพนักงาน นักศึกษาฝึกงานและผู้สมัครงาน
บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) ซึ่งต่อไปนี้จะเรียกว่า "บริษัท" ให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลของพนักงาน นักศึกษาฝึกงาน และผู้สมัครงาน (“ท่าน”) เพื่อให้การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อแจ้งข้อมูลให้ท่านทราบเกี่ยวกับ สิทธิ หน้าที่ ตลอดจนเงื่อนไขต่าง ๆ ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท
1. คำนิยาม
| คำศัพท์ | คำนิยาม |
|---|---|
| กฎหมายคุ้มครองข้อมูลส่วนบุคคล | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงฉบับแก้ไขเพิ่มเติม กฎหมาย กฎหมายลำดับรอง กฎ ระเบียบ ประกาศ หรือคำสั่ง ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล |
| ข้อมูลส่วนบุคคล | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| ข้อมูลส่วนบุคคลอ่อนไหว | ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
| เจ้าของข้อมูลส่วนบุคคล | บุคคลธรรมดาซึ่งถูกทำให้ระบุตัวตนได้ด้วยข้อมูลส่วนบุคคล ไม่ว่าโดยทางตรงหรือทางอ้อม |
| การประมวลผล/ประมวลผล | การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย |
| นโยบาย | นโยบายความเป็นส่วนตัว บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) สำหรับพนักงาน นักศึกษาฝึกงานและผู้สมัครงาน |
| ผู้สมัครงาน | บุคคลที่มีสัญชาติไทยหรือชาวต่างชาติที่ยื่นสมัครงานเพื่อเป็นพนักงานประจำ พนักงานชั่วคราว หรือนักศึกษาฝึกงาน ที่ทำงานให้แก่บริษัท แล้วแต่กรณี ไม่ว่าการสมัครงานนั้นจะดำเนินการโดยผู้สมัครเอง หรือเป็นการรับสมัครงานภายในบริษัทหรือผ่านการแนะนำของบุคคลอื่นใดหรือผ่านการดำเนินการของผู้ให้บริการจัดหางาน |
| พนักงาน | ผู้สมัครงานที่ได้รับการคัดเลือกให้เข้าทำสัญญาเพื่อทำงานให้แก่บริษัท ในฐานะพนักงานประจำ พนักงานชั่วคราว (Temporary) หรือพนักงานในช่วงทดลองงาน (Probation) หรือนักศึกษาฝึกงาน และได้รับค่าจ้างคำนวณในอัตรารายเดือน รายวัน รายชั่วโมง หรือตามผลงานโดยคำนวณเป็นหน่วย หรือคำนวณเป็นอย่างอื่น หรือที่มีการตกลงกันเป็นอย่างอื่นระหว่างบริษัทและพนักงานดังกล่าว |
2. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
ในการเก็บรวบรวมและเก็บรักษาข้อมูลส่วนบุคคลบริษัท จะใช้วิธีการที่ชอบด้วยกฎหมายและจำกัดเพียงเท่าที่จำเป็นตามวัดถุประสงค์การดำเนินงานของบริษัท ดังต่อไปนี้
| ประเภท | ตัวอย่างข้อมูลส่วนบุคคล |
|---|---|
| ข้อมูลที่ใช้ระบุตัวตนและคุณลักษณะบุคคล | ชื่อ นามสกุล เพศ สัญชาติ วันเดือนปีเกิด อายุ เลขประจำตัวประชาชน เลขประจำตัวคนต่างด้าว เลขประจำตัวผู้เสียภาษีอากร ลายมือชื่อ รูปถ่าย สถานภาพสมรส ชื่อ-นามสกุลของบิดามารดา |
| ข้อมูลสำหรับการติดต่อ | ที่อยู่ หมายเลขโทรศัพท์ อีเมล ชื่อบริษัท |
| ข้อมูลเกี่ยวกับการศึกษาและการทำงาน | ประวัติการศึกษา ระดับการศึกษา วุฒิการศึกษา ประวัติการฝึกอบรม รหัสพนักงาน ตำแหน่งงาน แผนก อายุงาน วันที่และเวลาเข้า-ออกงาน วันที่เริ่มงาน คะแนนผลการทำงาน สถิติการมาทำงาน สาเหตุการลาออก |
| ข้อมูลทางการเงิน | อัตราค่าจ้าง เงินเดือน หมายเลขบัญชีธนาคาร |
| ข้อมูลที่ใช้ประกอบเป็นหลักฐานในการทำนิติกรรมต่าง ๆ | สำเนาบัตรประจำตัวประชาชน สำเนาบัญชีธนาคาร เลขทะเบียนรถยนต์ สำเนาหนังสือเดินทาง เอกสารวีซ่า ใบอนุญาตทำงาน (Work Permit) บัตรประจำตัวคนไม่มีสัญชาติไทย (บัตรชมพู) ใบเสร็จการแจ้งเข้าทำงานของคนต่างด้าว สำเนาบัตรประจำคนผู้พิการ |
| ข้อมูลทางเทคนิค | IP Address Mac Address |
| ข้อมูลส่วนบุคคลอ่อนไหว | ส่วนสูง น้ำหนัก ข้อมูลบาดแผล ข้อมูลโรค ข้อมูลทางการแพทย์ ใบรับรองแพทย์ ผลการตรวจสุขภาพ โรคประจำตัว ข้อมูลความพิการ ประวัติอาชญากรรม พฤติกรรมทางเพศ ลายนิ้วมือ |
| ข้อมูลอื่นๆ |
|
โดยทั่วไปแล้ว บริษัทไม่มีความประสงค์ในการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว เช่น ข้อมูลศาสนาและหมู่โลหิตที่ปรากฏอยู่บนหน้าบัตรประจำตัวประชาชนของท่าน หากท่านมอบสำเนาบัตรประชาชนให้แก่บริษัทซึ่งปรากฎข้อมูลดังกล่าว บริษัทขอให้ท่านปกปิดข้อมูลดังกล่าวก่อนส่งมอบให้กับบริษัท หากท่านมิได้ปกปิดข้อมูลข้างต้น ถือว่าท่านยินยอมให้บริษัทดำเนินการปกปิดข้อมูลเหล่านั้น
3. แหล่งที่มาของข้อมูลส่วนบุคคล
บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากแหล่งต่าง ๆ ดังต่อไปนี้
| ประเภท | ตัวอย่างแหล่งข้อมูลส่วนบุคคลที่เก็บรวบรวม |
|---|---|
| ข้อมูลส่วนบุคคลที่ได้รับจากท่านโดยตรง |
|
| ข้อมูลส่วนบุคคลที่ได้รับโดยอัตโนมัติ |
|
| ข้อมูลส่วนบุคคลที่ได้รับจากแหล่งอื่นหรือบุคคลที่สาม |
|
ในกรณีที่ท่านตกลงและยินยอมให้ข้อมูลส่วนบุคคลใด ๆ ที่เกี่ยวข้องกับบุคคลภายนอกให้แก่บริษัท ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดเกี่ยวกับนโยบายให้บุคคลเหล่านั้นทราบอย่างครบถ้วน รวมทั้งขอความยินยอมจากบุคคลภายนอก และท่านมีหน้าที่รับรองและรับประกันความถูกต้องของข้อมูลส่วนบุคคลนั้น
4. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
บริษัทจะประมวลผลข้อมูลส่วนบุคคลของท่าน เพื่อวัตถุประสงค์ต่าง ๆ โดนอาศัยฐานทางกฎหมาย ดังต่อไปนี้
| ลำดับ | ฐานทางกฎหมาย | การใช้ข้อมูลส่วนบุคคล |
|---|---|---|
| 1 | การปฏิบัติตามสัญญา (Performance of Contract) | เป็นการจำเป็นเพื่อปฏิบัติตามสัญญา ซึ่งท่านเป็นคู่สัญญากับบริษัท รวมทั้งเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญา |
| 2 | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) | เป็นการดำเนินงานที่จำเป็นของบริษัทภายใต้ประโยชน์โดยชอบตามกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผล และไม่ละเมิดต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลเกินควร |
| 3 | การปฏิบัติตามกฎหมาย (Legal Obligation) | เป็นการปฏิบัติตามกฎหมาย กฎระเบียบ หรือคำสั่งของหน่วยงานรัฐที่ทำหน้าที่ในการกำกับดูแลบริษัท |
| 4 | ประโยชน์สำคัญต่อชีวิต (Vital Interest) | เป็นการดำเนินงานเพื่อปกป้องประโยชน์สำคัญของเจ้าของข้อมูลส่วนบุคคล เช่น การปกป้องอันตรายต่อชีวิต ร่างกาย และสุขภาพ ของเจ้าของข้อมูลส่วนบุคคล |
| 5 | ความยินยอม (Consent) | ในกรณีที่บริษัทมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลอ่อนไหวซึ่งไม่สามารถอาศัยฐานทางกฎหมายตามที่ระบุไว้ข้างต้น บริษัทจะแจ้งและขอความยินยอมเป็นการเฉพาะจากท่าน |
กรณีที่ท่านเป็นผู้สมัครงาน บริษัทจะดำเนินการประมวลผลข้อมูลส่วนบุคคลของท่าน โดยอาศัยฐานทางกฎหมายต่าง ๆ เพื่อวัตถุประสงค์ดังนี้
| ลำดับ | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| 1 | เพื่อดำเนินการที่จำเป็นในการพิจารณาคัดเลือกผู้สมัครงาน ประเมินความเหมาะสมกับตำแหน่งงานที่บริษัทต้องการ เพื่อรับเข้าทำงานเป็นพนักงานของบริษัทโดยหมายรวมถึง การรับสมัครงาน การทดสอบ การสัมภาษณ์ การประเมิน ตลอดจนการเสนอการจ้างงานให้แก่ท่าน | การปฏิบัติตามสัญญา (Performance of Contract) |
| 2 | เพื่อตรวจสอบประวัติและคุณสมบัติก่อนการจ้างงาน รวมถึงการตรวจสอบข้อมูลที่จำเป็น เพื่อประกอบการพิจารณารับเข้าทำงานกับบริษัท และการทำสัญญาจ้างงาน | การปฏิบัติตามสัญญา (Performance of Contract) |
| 3 | เพื่อการบริหารจัดการภายในของบริษัทที่เกี่ยวข้องกับกระบวนการสรรหาบุคคลเข้าทำงาน เช่น การส่งข้อมูลของท่านหรือรายงานให้ผู้ที่มีอำนาจตัดสินใจคัดเลือก กระบวนการภายในเพื่อทำสัญญาจ้าง รวมถึงกระบวนการอื่นที่จำเป็นต้องจัดเตรียมสำหรับพนักงานใหม่ | การปฏิบัติตามสัญญา (Performance of Contract) |
| 4 | เพื่อดูแลรักษาความปลอดภัยของชีวิต ร่างกาย สุขภาพและทรัพย์สินของท่านภายในและบริเวณโดยรอบของบริษัท เช่น การสอดส่องดูแลด้วยกล้องวงจรปิด (CCTV) |
|
กรณีที่ท่านเป็นพนักงาน บริษัทจะดำเนินการประมวลผลข้อมูลส่วนบุคคลของท่าน โดยอาศัยฐานทางกฎหมายต่าง ๆ เพื่อวัตถุประสงค์ดังนี้
| ลำดับ | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| 1 | เพื่อดำเนินการเข้าทำสัญญาจ้างแรงงานตามคำขอของท่าน หรือเพื่อปฏิบัติตามสัญญาโดยที่ท่านเป็นคู่สัญญากับบริษัท เช่น การจัดทำสัญญา ข้อตกลงการจ้างงาน การปฏิบัติตามกฎของบริษัท จัดฝึกอบรมทั้งภายในและภายนอกบริษัท ประเมินผลการทำงาน การพิจารณาค่าตอบแทนและสวัสดิการ เป็นต้น |
|
| 2 | เพื่อขึ้นทะเบียนพนักงาน การจัดเตรียมบัตรพนักงาน การจัดทำประวัติพนักงาน รวมไปทั้งการบริหารจัดการด้านเทคโนโลยีสารสนเทศ เช่น การสร้าง username และ password และสร้างอีเมล และการเตรียมอุปกรณ์ที่จำเป็น เช่น เครื่องคอมพิวเตอร์ และอื่นๆ เพื่อเตรียมความพร้อมสำหรับการปฏิบัติงานของท่าน |
|
| 3 | เพื่อจัดทำหรือต่ออายุวีซ่า ใบอนุญาตทำงาน การขอต่อใบอนุญาตที่เกี่ยวกับการทำงานของท่าน การขอทำบัตรสีชมพู การเก็บข้อมูลใบอนุญาต การดำเนินการทำเล่มเอกสารรับรองบุคคล (Certificate of Identity) และเอกสารเกี่ยวกับการทำงานอื่นๆที่เกี่ยวข้องตามกฎหมาย | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 4 | เพื่อเก็บบันทึกข้อมูลเกี่ยวกับข้อมูลโรค ผลการตรวจสุขภาพก่อนเริ่มงาน เพื่อพิจารณาความเหมาะสมในการทำงาน |
|
| 5 | เพื่อตรวจสอบประวัติอาชญากรรม เพื่อพิจารณาคุณสมบัติและความเหมาะสมในการปฏิบัติงาน (เฉพาะบางตำแหน่ง) | ความยินยอม (Consent) |
| 6 | เพื่อเก็บข้อมูลเกี่ยวกับความพิการ การคุ้มครองแรงงานสำหรับผู้พิการ การประเมินผลการทำงานผู้พิการและยื่นผลการประเมินการทำงาน | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 7 | เพื่อเก็บข้อมูลจำลองลายนิ้วมือ เพื่อบันทึกการเข้า-ออก พื้นที่เฉพาะของบริษัทและยืนยันตัวตน การรักษาความปลอดภัยภายในบริษัทและการป้องกันอาชญากรรม | ความยินยอม (Consent) |
| 8 | เพื่อการบริหารจัดการด้านประกันสังคม เช่น การแจ้งขึ้นทะเบียนผู้ประกันตน การแจ้งสิ้นสุดประกันตน การบริหารกองทุนสำรองเลี้ยงชีพ รวมทั้งการบริหารจัดการด้านภาษีอากรของท่าน เช่น เอกสารประกอบการบันทึกบัญชี อย่าง ใบเบิกเงินสดย่อย ใบกำกับภาษี และเอกสารเกี่ยวกับการลดหย่อนภาษี | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 9 | เพื่อการบริหารจัดการเรื่องเงินเดือน ค่าตอบแทน ค่าจ้าง โบนัส ค่าล่วงเวลา ค่าที่พัก ค่าเดินทาง รวมถึงผลประโยชน์ต่าง ๆ ให้กับท่าน รวมทั้งการพิจารณาเกี่ยวกับค่าตอบแทนที่เกี่ยวข้อง เช่น การลางาน การบันทึกโอที การตรวจสอบเวลาเข้า-ออกงาน โดยการลงบันทึกเวลาเข้า-ออกหรือข้อมูลการสแกนลายนิ้วมือ |
|
| 10 | เพื่อจัดให้มีสวัสดิการที่เหมาะสมกับท่านเช่น ประกันสุขภาพ บัตรทางด่วน บัตรเติมน้ำมัน การจัดให้มีการตรวจสุขภาพประจำปี การตรวจสุขภาพสำหรับกลุ่มเสี่ยง การรักษาพยาบาล การกู้ยืมเงินเพื่อที่อยู่อาศัย รวมถึงสวัสดิการสำหรับพนักงานที่เป็นคนต่างด้าว เช่น การเปิดบัญชีธนาคารสำหรับคนต่างด้าว |
|
| 11 | เพื่อแต่งตั้งบุคลากรด้านความปลอดภัยในการทำงาน เช่น เจ้าหน้าที่ความปลอดภัยในการทำงานวิชาชีพ, เจ้าหน้าที่ความปลอดภัยในการทำงานระดับบริหาร, เจ้าหน้าที่ความปลอดภัยในการทำงานระดับหัวหน้างาน, คณะกรรมการด้านความปลอดภัย, หน่วยงานด้านความปลอดภัย | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 12 | เพื่อจัดกิจกรรมอบรม การสัมมนา การประชุม เพื่อพัฒนาบุคลากรของบริษัท รวมถึงการจัดกิจกรรมนอกสถานที่ เช่น กิจกรรมเพื่อสังคมของบริษัท (CSR) กิจกรรมสันทนาการ | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 13 | การถ่ายภาพนิ่งหรือภาพเคลื่อนไหวของกิจกรรมต่าง ๆ การถ่ายภาพพิธีการ การถ่ายภาพบรรยากาศ การถ่ายภาพกิจกรรมต่าง ๆ ทั้งภายในและภายนอกบริษัท รวมถึงการถ่ายภาพแบบเจาะจงบุคคล |
|
| 14 | เพื่อติดต่อหน่วยงานราชการ การมอบอำนาจ ดำเนินการต่าง ๆ ที่เกี่ยวข้องกับแรงงาน การนำข้อมูลเข้าระบบราชการ เช่น การยื่นรับรองระบบบริการภาครัฐผ่านระบบอิเล็กทรอนิกส์กรมพัฒนาฝีมือแรงงาน กระทรวงแรงงาน |
|
| 15 | เพื่อประเมินผลการทำงานของพนักงานทดลองงานเพื่อบรรจุเป็นพนักงานประจำ ประเมินผลการทำงานของนักศึกษาฝึกงาน เพื่อพิจารณาปรับตำแหน่ง ผลตอบแทนและพิจารณาเรื่องสวัสดิการพิเศษอื่นๆ |
|
| 16 | เพื่อการรับรองความปลอดภัยในกระบวนการผลิต การบริหารจัดการด้านมาตรการป้องกันและบรรเทาอุบัติเหตุและอุบัติภัย การบริหารจัดการด้านอื่นๆ ซึ่งเกี่ยวข้องกับเหตุฉุกเฉินหรือเหตุอันตรายต่อชีวิตหรือร่างกายของพนักงาน | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 17 | เพื่อการบริหารจัดการด้านเทคโนโลยีสารสนเทศ เช่น การสร้างบัญชีผู้ใช้งาน การสำรองข้อมูล การบันทึกข้อมูลการเข้าใช้งาน ข้อมูลการจราจรบนระบบเทคโนโลยีสารสนเทศของบริษัท |
|
| 18 | เพื่อป้องกันและระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่าน เช่น การติดต่อในกรณีฉุกเฉิน การนำส่งโรงพยาบาล การบันทึกประวัติการเดินทาง การดำเนินการตามมาตรการควบคุมโรคติดต่อ |
|
| 19 | เพื่อการบริหารความเสี่ยง การควบคุมภายในองค์กร การบริหารจัดการภายในบริษัทและบริษัทในเครือ การกำกับดูแลกิจการที่ดี การตรวจสอบจากภายในและจากภายนอก รวมทั้งการประสานงานกับผู้ให้บริการด้านการกำกับตรวจสอบบริษัทและบริษัทในเครือ |
|
| 20 | เพื่อดูแลรักษาความปลอดภัยของชีวิต ร่างกาย สุขภาพและทรัพย์สินของท่านภายในและบริเวณโดยรอบของบริษัท เช่น การสอดส่องดูแลด้วยกล้องวงจรปิด (CCTV) |
|
| 21 | เพื่อการก่อตั้งสิทธิเรียกร้องทางกฎหมาย การปฏิบัติหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือการยกขึ้นสู้ซึ่งสิทธิเรียกร้องตามกฎหมาย ซึ่งรวมถึงแต่ไม่จำกัดเพียงการดำเนินคดี การบังคับคดี หรือการดำเนินการใด ๆ ตามกระบวนการทางกฎหมาย | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 22 | เพื่อปฏิบัติตามกฎหมาย กฎระเบียบ ข้อบังคับ ทั้งในประเทศและต่างประเทศที่ใช้บังคับ และเพื่อปฏิบัติตามคำสั่งของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายหรือเจ้าพนักงานที่มีอำนาจหน้าที่ตามกฎหมาย | การปฏิบัติตามกฎหมาย (Legal Obligation) |
5. การเปิดเผยข้อมูลส่วนบุคคล
- 5.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านไปยังบุคคลภายในและภายนอกบริษัท ดังต่อไปนี้
หน่วยงานภายในบริษัทและบริษัทในเครือ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ บุคลากรของบริษัท หน่วยงานภายในบริษัท โดยหมายรวมถึง ผู้บริหาร หัวหน้างาน พนักงาน อย่างไรก็ดี บริษัทจะจำกัดแค่เฉพาะผู้ที่เกี่ยวข้องและมีความจำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลเท่านั้น
พันธมิตรทางธุรกิจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่พันธมิตรทางธุรกิจในเชิงการบริหารจัดการในเชิงการปฏิบัติงานของบริษัท ซึ่งรวมไปถึง ตัวแทน ผู้รับมอบอำนาจ ขององค์กรนั้นด้วย เช่น ธนาคาร สถาบันการเงิน บริษัทประกันภัย สถานพยาบาล เป็นต้น
ผู้ให้บริการ บริษัทอาจว่าจ้างผู้ให้บริการภายนอก (Outsource) เป็นผู้ให้บริการแทนหรือสนับสนุนการดำเนินธุรกิจของบริษัทและการให้บริการแก่ลูกค้า ซึ่งรวมไปถึง ตัวแทน ผู้รับจ้าง ผู้รับจ้างช่วง ของผู้ให้บริการนั้นด้วย เช่น ผู้ให้บริการจัดการเว็บไซต์และสื่อสารสนเทศ ผู้ให้บริการเกี่ยวกับการจัดกิจกรรม
ที่ปรึกษาวิชาชีพ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ ผู้ตรวจสอบบัญชี ผู้ตรวจสอบการบริหารงานของบริษัท ที่ปรึกษาในด้านต่าง ๆ ผู้ให้บริการทางวิชาชีพและผู้เชี่ยวชาญอื่นใดทั้งภายในและภายนอกบริษัท เพื่อสนับสนุนการดำเนินธุรกิจของบริษัท
หน่วยงานรัฐที่มีอำนาจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านหน่วยงานราชการ หน่วยงานที่ทำหน้าที่กำกับดูแลบริษัท หรือหน่วยงานอื่นที่มีอำนาจหน้าที่ตามที่กฎหมายกำหนด เพื่อการปฏิบัติตามกฎหมาย เช่น สำนักงานประกันสังคม กรมจัดหางาน กรมพัฒนาฝีมือแรงงาน สำนักงานพัฒนาสังคมและความมั่นคงของมนุษย์ กรมสรรพากร สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ศาล รวมทั้งเจ้าหน้าที่รัฐที่มีอำนาจในการเข้าถึงข้อมูลส่วนบุคคล เช่น เจ้าหน้าที่ตำรวจ อัยการ
- 5.2 บริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลส่วนบุคคลของท่านอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และจะดำเนินการเพื่อป้องกันไม่ให้มีการประมวลผลข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงจะดำเนินการภายใต้วัตถุประสงค์ที่กำหนดในนโยบายฉบับนี้หรือวัตถุประสงค์อื่นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้กระทำได้เท่านั้น โดยในกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ต้องขอความยินยอมจากท่าน บริษัทจะแจ้งและขอความยินยอมจากท่านเป็นการเฉพาะ
6. การส่งต่อหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
- 6.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ ทั้งนี้ หากมีความจำเป็นที่บริษัทจะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ บริษัทจะแจ้งและขอความยินยอมโดยชัดแจ้งจากท่านสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเป็นการเฉพาะ
- 6.2 ในการส่งต่อหรือโอนข้อมูลดังกล่าว บริษัทจะจัดให้มีมาตรการการคุ้มครองและรักษาความปลอดภัยที่เหมาะสม และจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทจะดำเนินการตามมาตรการเพื่อทำให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอหรือเป็นไปตามเงื่อนไขตามที่กฎหมายกำหนดอื่นๆ
- 6.3 บริษัทอาจเก็บข้อมูลส่วนบุคคลของท่านบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชั่นของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของของท่าน ทั้งนี้ บริษัทจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคล และจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม
7. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
- 7.1 บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของท่านในระยะเวลาเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่บริษัทดำเนินความสัมพันธ์กับท่านและแนวปฏิบัติต่อข้อมูลส่วนบุคคลแต่ละประเภท โดยปกติบริษัทจะเก็บข้อมูลส่วนบุคคลของท่านตามระยะเวลาดังรายละเอียดต่อไปนี้
| เจ้าของข้อมูลส่วนบุคคล | ระยะเวลาในการจัดเก็บ |
|---|---|
| ผู้สมัครงานที่ไม่ถูกคัดเลือกให้เข้าร่วมทำงานกับ บริษัท ไม่ว่าด้วยเหตุผลใด เช่น บริษัทปฎิเสธไม่รับท่านเข้าทำงาน หรือท่านปฎิเสธที่จะเข้าทำงานกับบริษัท | ไม่เกิน 6 เดือน นับแต่วันสัมภาษณ์งาน |
| พนักงานที่เป็นนักศึกษาฝึกงาน | ไม่เกิน 5 ปี นับแต่การฝึกงานได้สิ้นสุดลง |
| พนักงานที่ไม่ใช่นักศึกษาฝึกงาน และได้รับค่าจ้างในอัตรารายเดือน | ตลอดระยะเวลาที่ท่านเป็นพนักงานของบริษัท และจะเก็บต่อไปอีกเป็นระยะเวลาไม่เกิน 10 ปีนับแต่สิ้นสุดสภาพการเป็นพนักงาน |
| พนักงานที่ไม่ใช่นักศึกษาฝึกงาน และได้รับค่าจ้างในอัตรารายวัน | ตลอดระยะเวลาที่ท่านเป็นพนักงานของบริษัท และจะเก็บต่อไปอีกเป็นระยะเวลาไม่เกิน 2 ปีนับแต่สิ้นสุดสภาพการเป็นพนักงาน |
- 7.2 เมื่อพ้นระยะเวลาที่ระบุไว้ข้างต้นหรือเมื่อหมดความจำเป็นที่จะต้องเก็บรักษาข้อมูลส่วนบุคคลของท่าน บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้โดยทันที ทั้งนี้ บริษัท อาจเก็บรักษาข้อมูลส่วนบุคคลของท่านทั้งหมดหรือบางส่วนเกินกว่าระยะเวลาที่ระบุไว้ข้างต้น เพื่อการปฏิบัติตามกฎหมายหรือคำสั่งโดยชอบด้วยกฎหมาย
- 7.3 บริษัท ได้จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาในการเก็บรักษาหรือหมดความจำเป็นในการประมวลผลข้อมูลนั้น
8. การประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม
บริษัทมีสิทธิในการประมวลผลข้อมูลส่วนบุคคลของท่านที่บริษัทได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับต่อไปตามวัตถุประสงค์เดิม หากท่านไม่ประสงค์ที่จะให้บริษัท ดำเนินการประมวลผลข้อมูลส่วนบุคคลดังกล่าวต่อไป ท่านสามารถขอถอนความยินยอมของท่านเมื่อใดก็ได้ โดยเงื่อนไขของการถอนความยินยอมเป็นไปตามข้อ 10.2
9. มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.1 บริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งมาตรการป้องกันด้านการบริหารจัดการ (administrative measure) มาตรการป้องกันด้านเทคนิค (technical measure) และมาตรการป้องกันทางกายภาพ (physical measure) เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพพร้อมใช้งานของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูลส่วนบุคคลจากผู้ที่ไม่มีสิทธิหรือหน้าที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้น
- 9.2 บริษัทได้มีการบังคับใช้มาตรการรักษาความมั่นคงปลอดภัยภายในบริษัท อย่างเข้มงวด โดยใช้เทคโนโลยีและขั้นตอนการรักษาความมั่นคงปลอดภัย เช่น การจัดให้มีมาตรการควบคุมการเข้าถึงและใช้งานข้อมูลส่วนบุคคล โดยกำหนดสิทธิการเข้าถึงข้อมูล สิทธิในการอนุญาตให้ผู้ที่ได้รับมอบหมายให้เข้าถึงข้อมูลได้ รวมทั้งการจัดให้มีมาตรการสำหรับการตรวจสอบย้อนหลัง เพื่อให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลของท่านและบุคคลเหล่านี้ได้รับการฝึกอบรมและมีความตระหนักรู้เกี่ยวกับความสำคัญของการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.3 บริษัทจะจัดให้มีการทบทวนมาตรการดังกล่าว รวมทั้งปรับปรุงและพัฒนามาตรการดังกล่าว เมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้การรักษาความมั่นคงปลอดภัยข้อมูลเป็นไปอย่างมีประสิทธิภาพ
10. สิทธิของเจ้าของข้อมูลส่วนบุคคลและการใช้สิทธิในการดำเนินการดังกล่าว
- 10.1 ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่ระบุ ดังต่อไปนี้
| สิทธิของเจ้าของ ข้อมูลส่วนบุคคล | รายละเอียด |
|---|---|
| สิทธิในการเพิกถอน ความยินยอม (Right to withdraw consent) |
|
| สิทธิในการขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูล (Right to access and retrieve a copy of data) |
|
| สิทธิในการขอให้โอนย้ายข้อมูล (Right to data portability) |
|
| สิทธิในการคัดค้าน การประมวลผลข้อมูล (Right to object to Data Processing) | ท่านมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล ในกรณีที่บริษัท ประมวลผลข้อมูลส่วนบุคคล
|
| สิทธิขอให้ลบหรือทำลายข้อมูล (Right to erasure/Right to be forgotten) | ท่านมีสิทธิขอให้บริษัทดำเนินการลบ ทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ในกรณีต่อไปนี้
|
| สิทธิขอให้ระงับการ ประมวลผลข้อมูล (Right to restriction of Data Processing) | ท่านมีสิทธิขอให้บริษัทระงับการประมวลผลข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
|
| สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง (Right to rectification) | ท่านมีสิทธิขอให้มีบริษัทดำเนินการแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน ครบถ้วนสมบูรณ์ หรือไม่ก่อให้เกิดความเข้าใจผิด |
| สิทธิในการร้องเรียน (Right to lodge a complaint) | ท่านมีสิทธิร้องเรียนมายังบริษัทหรือหน่วยงานที่มีอำนาจตามกฎหมาย หากท่านเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของท่าน เป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล |
- 10.2 ท่านอาจใช้สิทธิข้างต้นของท่านได้ตลอดเวลา โดยติดต่อผ่านช่องทางการติดต่อตามข้อ 14. เพื่อดำเนินการแจ้งขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- 10.3 การใช้สิทธิดังกล่าวของท่านอาจถูกจำกัดภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้อง และอาจมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฎิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิของท่านได้ ในกรณีนี้บริษัทจะแจ้งเหตุผลของการปฎิเสธพร้อมกับคำตอบสนองต่อคำขอใช้สิทธิดังกล่าว
11. การถอนความยินยอมและผลกระทบที่เป็นไปได้จากการถอนความยินยอม
- 11.1 ในกรณีที่บริษัทประมวลผลข้อมูลส่วนบุคคลโดยอาศัยความยินยอม ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมที่ให้ไว้กับบริษัทได้ตลอดเวลา ทั้งนี้ การถอนความยินยอมนี้จะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมไปแล้วโดยชอบ
- 11.2 หากท่านถอนความยินยอมที่ได้ให้ไว้กับบริษัทหรือไม่ยินยอมที่จะให้ข้อมูลกับบริษัท ไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลให้บริษัทไม่สามารถดำเนินการเพื่อบรรลุวัตถุประสงค์ทั้งหมดหรือบางส่วนตามที่กำหนดไว้ในนโยบายฉบับนี้ได้
12. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ
- 12.1 หากท่านเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และต้องการให้ความยินยอมกับ บริษัทในการประมวลผลข้อมูลส่วนบุคคล ท่านจำเป็นต้องดำเนินการเพื่อให้ได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ก่อนที่จะให้ความยินยอมกับบริษัท
- 12.2 ในกรณีที่บริษัทต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ แต่บริษัทไม่ทราบในขณะประมวลผลถึงข้อเท็จจริงดังกล่าว และต่อมาบริษัทได้ทราบถึงข้อเท็จจริงนั้นในภายหลังว่าบริษัทได้ประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมข้างต้น บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้โดยทันที เว้นแต่เป็นกรณีที่บริษัทสามารถประมวลผลข้อมูลส่วนบุคคลดังกล่าวได้โดยอาศัยฐานทางกฎหมายอื่นและไม่ต้องขอความยินยอม
13. การแก้ไขเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
บริษัทอาจมีการปรับปรุงแก้ไขเพิ่มเติมนโยบายความเป็นส่วนตัวได้ตามความเหมาะสมและสถานการณ์ที่เปลี่ยนแปลงไป โดยหากเป็นการเปลี่ยนแปลงในสาระสำคัญของนโยบายฉบับนี้ บริษัทจะแจ้งการปรับปรุงแก้ไขเพิ่มเติมนโยบายให้ท่านทราบ และขอให้ท่านตรวจสอบนโยบายฉบับนี้เป็นประจำ
14. ช่องทางการติดต่อ
หากท่านมีข้อสงสัยเกี่ยวกับเนื้อหาในนโยบายความเป็นส่วนตัวฉบับนี้ หรือต้องการข้อมูลเพิ่มเติมเกี่ยวกับแนวปฏิบัติของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือมีความประสงค์ต้องการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล กรุณาติดต่อผ่านช่องทางการติดต่อดังนี้
ติดต่อบริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
สถานที่ติดต่อ: บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) 99/1 หมู่ 4 ตำบลแคราย อำเภอกระทุ่มแบน จังหวัดสมุทรสาคร 74110
อีเมล: DPO@nrinstant.com
หมายเลขโทรศัพท์: 034849576-80
15. กฎหมายที่ใช้บังคับ
ท่านตกลงและรับทราบว่านโยบายฉบับนี้อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาชี้ขาดข้อพิพาทใด ๆ ที่อาจเกิดขึ้นจากนโยบายฉบับนี้
นโยบายฉบับนี้ได้รับการอนุมัติจากคณะกรรมการบริษัท ในการประชุมครั้งที่ 9/2568 เมื่อวันที่ 15 พฤษภาคม 2568 ทั้งนี้ให้มีผลบังคับใช้ตั้งแต่วันที่ 16 พฤษภาคม 2568 เป็นต้นไป
สำหรับการบันทึกภาพนิ่ง หรือภาพเคลื่อนไหว
บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) ซึ่งต่อไปนี้จะเรียกว่า "บริษัท" ให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลของผู้ถือหุ้น กรรมการ พนักงาน ผู้ให้สัมภาษณ์/แสดงความคิดเห็น ผู้ที่เข้าร่วมกิจกรรม ผู้ที่ได้รับรางวัล ผู้เข้ามาใช้พื้นที่ ผู้มาติดต่อ ผู้ขอเข้าอาคาร รวมไปถึง ลูกค้า คู่ค้า ผู้ที่คาดว่าเป็นคู่ค้า และตัวแทนของบุคคลดังกล่าว (“ท่าน”) เพื่อให้การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อแจ้งข้อมูลให้ท่านทราบเกี่ยวกับ สิทธิ หน้าที่ ตลอดจนเงื่อนไขต่าง ๆ ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท
1. คำนิยาม
| คำศัพท์ | คำนิยาม |
|---|---|
| กฎหมายคุ้มครองข้อมูลส่วนบุคคล | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงฉบับแก้ไขเพิ่มเติม กฎหมาย กฎหมายลำดับรอง กฎ ระเบียบ ประกาศ หรือคำสั่ง ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล |
| ข้อมูลส่วนบุคคล | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| ข้อมูลส่วนบุคคลอ่อนไหว | ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
| เจ้าของข้อมูลส่วนบุคคล | บุคคลธรรมดาซึ่งถูกทำให้ระบุตัวตนได้ด้วยข้อมูลส่วนบุคคล ไม่ว่าโดยทางตรงหรือทางอ้อม |
| การประมวลผล/ประมวลผล | การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย |
| นโยบาย | นโยบายความเป็นส่วนตัว บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) สำหรับการบันทึกภาพนิ่ง หรือภาพเคลื่อนไหว |
2. ประเภทและแหล่งที่มาของข้อมูลส่วนบุคคล
- 2.1 บริษัทมีความจำเป็นต้องมีการประมวลผลข้อมูลภาพถ่าย ไม่ว่าจะเป็นภาพนิ่ง ภาพเคลื่อนไหวของท่านซึ่งข้อมูลส่วนบุคคลที่บริษัทประมวลผลอาจเป็นภาพนิ่งหรือภาพเคลื่อนไหวในระหว่างการสัมภาษณ์ การถ่ายภาพบุคคลเฉพาะเจาะจงในขณะเข้าร่วมกิจกรรม (ภาพเดี่ยว) บรรยากาศระหว่างการจัดกิจกรรมหรือการถ่ายภาพรวม (ภาพหมู่) เมื่อเสร็จสิ้นกิจกรรม ซึ่งข้อมูลเหล่านี้จะถูกจัดเก็บในรูปแบบอิเล็กทรอนิกส์บนอุปกรณ์บันทึกข้อมูลของบริษัท ซึ่งในการบันทึกข้อมูลอาจรวมถึงข้อมูลส่วนตัวของเจ้าของข้อมูล เช่น ชื่อ นามสกุล ตำแหน่งของเจ้าของภาพ และข้อมูลกิจกรรม สถานที่ วันที่ เวลา ที่ปรากฏบนภาพ
- 2.2 ในกรณีที่เป็นการบันทึกภาพนิ่งหรือภาพเคลื่อนไหวของท่าน เพื่อวัตถุประสงค์ในเชิงพาณิชย์ และ/หรือเชิงประชาสัมพันธ์ บริษัทจะแจ้งและขอความยินยอมเป็นการเฉพาะจากท่าน เมื่อบริษัทได้ทำการคัดเลือกภาพนิ่งหรือภาพเคลื่อนไหวนั้นไปเปิดเผย เผยแพร่ พร้อมทั้งขออนุญาตระบุชื่อ นามสกุล เพื่อประกอบกับภาพนิ่งหรือภาพเคลื่อนไหวของท่าน เพื่อวัตถุประสงค์ในเชิงพาณิชย์ และ/หรือวัตถุประสงค์ในเชิงประชาสัมพันธ์ในเอกสารที่บริษัทได้ขอความยินยอมจากท่าน
3. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
บริษัทจะประมวลผลข้อมูลส่วนบุคคลของท่าน เพื่อวัตถุประสงค์ต่าง ๆ โดนอาศัยฐานทางกฎหมาย ดังต่อไปนี้
| ลำดับ | ฐานทางกฎหมาย | การใช้ข้อมูลส่วนบุคคล |
|---|---|---|
| 1 | การปฏิบัติตามสัญญา (Performance of Contract) | เป็นการจำเป็นเพื่อปฏิบัติตามสัญญา ซึ่งท่านเป็นคู่สัญญากับบริษัท รวมทั้งเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญา |
| 2 | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) | เป็นการดำเนินงานที่จำเป็นของบริษัทภายใต้ประโยชน์โดยชอบตามกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผล และไม่ละเมิดต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลเกินควร |
| 3 | ความยินยอม (Consent) | ในกรณีที่บริษัทมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลอ่อนไหว ซึ่งไม่สามารถอาศัยฐานทางกฎหมายตามที่ระบุไว้ข้างต้นได้ บริษัทจะแจ้งและขอความยินยอมโดยชัดแจ้งเป็นการเฉพาะจากท่าน |
| ลำดับ | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| 1 | การถ่ายภาพนิ่ง หรือภาพเคลื่อนไหวที่ไม่ใช่ลักษณะการถ่ายภาพเจาะจง เฉพาะบุคคล และการถ่ายภาพบรรยากาศการจัดกิจกรรม (ภาพหมู่) งานนิทรรศการ บรรยากาศระหว่างการจัดกิจกรรม การจัดอบรม การประชุม เพื่อวัตถุประสงค์ในการสื่อสาร และเผยแพร่ผ่านช่องทางสื่อต่าง ๆ ไม่ว่าจะเป็นโซเชียลมีเดียหรือช่องทางการสื่อสารของบริษัท | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 2 | การถ่ายภาพนิ่ง หรือภาพเคลื่อนไหว ในลักษณะเจาะจง หรือเป็นภาพถ่ายหรือภาพเคลื่อนไหวเฉพาะบุคคล หรือการใช้ชื่อ–นามสกุล และผลงาน เพื่อประกอบภาพถ่ายหรือภาพเคลื่อนไหว เพื่อนำไปใช้ในเชิงธุรกิจตามความเหมาะสมและตามวัตถุประสงค์ของบริษัท | ความยินยอม (Consent) |
| 3 | การประมวลผลตามสัญญาอนุญาตให้ใช้ถ่ายภาพนิ่ง หรือภาพเคลื่อนไหว ชื่อ–นามสกุล และผลงาน โดยได้รับสิ่งตอบแทน | การปฏิบัติตามสัญญา (Performance of Contract) |
| 4 | การถ่ายภาพนิ่ง หรือภาพเคลื่อนไหว ในกรณีที่เป็นการบันทึกภาพถ่ายสำคัญ เนื่องจากเป็นผู้โชคดีในการรับรางวัล หรือเป็นผู้ที่ได้รับการคัดเลือกให้เข้ารับรางวัลใด ๆ ในการจัดกิจกรรม | การปฏิบัติตามสัญญา (Performance of Contract) |
| 5 | การถ่ายภาพนิ่ง หรือภาพเคลื่อนไหว เพื่อใช้เป็นหลักฐานประกอบการยืนยันตัวตน และใช้ตรวจสอบภายในบริษัท หรือเพื่อวัตถุประสงค์อื่นซึ่งเป็นประโยชน์โดยชอบของบริษัท | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
4. การเปิดเผยข้อมูลส่วนบุคคล
- 4.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านไปยังบุคคลภายในและภายนอกบริษัท ดังต่อไปนี้
หน่วยงานภายในบริษัท บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ บุคลากรของบริษัท หน่วยงานภายในบริษัท โดยหมายรวมถึง ผู้บริหาร หัวหน้างาน พนักงาน อย่างไรก็ดี บริษัทจะจำกัดแค่เฉพาะผู้ที่เกี่ยวข้องและมีความจำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลเท่านั้น
หน่วยงานรัฐที่มีอำนาจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านหน่วยงานราชการ หน่วยงานที่ทำหน้าที่กำกับดูแลบริษัท หรือหน่วยงานอื่นที่มีอำนาจหน้าที่ตามที่กฎหมายกำหนด เพื่อการปฏิบัติตามกฎหมาย เช่น สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ศาล รวมทั้งเจ้าหน้าที่รัฐที่มีอำนาจในการเข้าถึงข้อมูลส่วนบุคคล เช่น เจ้าหน้าที่ตำรวจ อัยการ
สื่อสาธารณะ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์บนสื่อสาธารณะ ไม่ว่าจะเป็นในรูปแบบสารสนเทศหรือไม่ก็ตาม ซึ่งบุคคลทั่วไปสามารถเข้าถึงได้ ไม่ว่าจะเป็นโซเชียลมีเดียหรือช่องทางการสื่อสารของบริษัท หรือเป็นเว็บไซต์ของหน่วยงานรัฐที่มีอำนาจที่เกี่ยวข้อง
- 4.2 บริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลส่วนบุคคลของท่านอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และจะดำเนินการเพื่อป้องกันไม่ให้มีการประมวลผลข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงจะดำเนินการภายใต้วัตถุประสงค์ที่กำหนดในนโยบายฉบับนี้หรือวัตถุประสงค์อื่นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้กระทำได้เท่านั้น โดยในกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ต้องขอความยินยอมจากท่าน บริษัทจะแจ้งและขอความยินยอมจากท่านเป็นการเฉพาะ
5. การส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
- 5.1 โดยทั่วไปแล้วบริษัทไม่มีความประสงค์ที่จะส่งต่อหรือโอนข้อมูลส่วนบุคคลภาพนิ่งหรือภาพเคลื่อนไหวไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ ทั้งนี้ หากบริษัทมีความจำเป็นต้องส่งหรือโอนข้อมูลดังกล่าว บริษัทจะดำเนินการขอความยินยอมโดยชัดแจ้งจากท่านเป็นการเฉพาะ
- 5.2 ในการส่งต่อหรือโอนข้อมูลดังกล่าว บริษัทจะจัดให้มีมาตรการการคุ้มครองและรักษาความปลอดภัยที่เหมาะสม และจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทจะดำเนินการตามมาตรการเพื่อทำให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอหรือเป็นไปตามเงื่อนไขตามที่กฎหมายกำหนดอื่นๆ
- 5.3 บริษัทอาจเก็บข้อมูลส่วนบุคคลของท่านบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชั่นของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของของท่าน ทั้งนี้ บริษัทจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคล และจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม
6. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
- 6.1 บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของท่านในระยะเวลาเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่บริษัทดำเนินความสัมพันธ์กับท่านและแนวปฏิบัติต่อข้อมูลส่วนบุคคลแต่ละประเภท โดยทั่วไปบริษัทจะเก็บข้อมูลส่วนบุคคลของท่านเป็นระยะเวลาไม่เกิน 10 ปีนับแต่วันที่ดำเนินการจัดเก็บข้อมูล
- 6.2 เมื่อพ้นระยะเวลาที่ระบุไว้ข้างต้นหรือเมื่อหมดความจำเป็นที่จะต้องเก็บรักษาข้อมูลส่วนบุคคลของท่าน บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้โดยทันที ทั้งนี้ บริษัท อาจเก็บรักษาข้อมูลส่วนบุคคลของท่านทั้งหมดหรือบางส่วนเกินกว่าระยะเวลาที่ระบุไว้ข้างต้น เพื่อการปฏิบัติตามกฎหมายหรือคำสั่งโดยชอบด้วยกฎหมาย
- 6.3 บริษัท ได้จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาในการเก็บรักษาหรือหมดความจำเป็นในการประมวลผลข้อมูลนั้น
7. การประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม
บริษัทมีสิทธิในการประมวลผลข้อมูลส่วนบุคคลของท่านที่บริษัท ได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับต่อไปตามวัตถุประสงค์เดิม หากท่านไม่ประสงค์ที่จะให้บริษัท ดำเนินการประมวลผลข้อมูลส่วนบุคคลดังกล่าวต่อไป ท่านสามารถขอถอนความยินยอมของท่านเมื่อใดก็ได้ โดยเงื่อนไขของการถอนความยินยอมเป็นไปตามข้อ 9.2
8. มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 8.1 บริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งมาตรการป้องกันด้านการบริหารจัดการ (administrative measure) มาตรการป้องกันด้านเทคนิค (technical measure) และมาตรการป้องกันทางกายภาพ (physical measure) เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพพร้อมใช้งานของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูลส่วนบุคคลจากผู้ที่ไม่มีสิทธิหรือหน้าที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้น
- 8.2 บริษัทได้มีการบังคับใช้มาตรการรักษาความมั่นคงปลอดภัยภายในบริษัท อย่างเข้มงวด โดยใช้เทคโนโลยีและขั้นตอนการรักษาความมั่นคงปลอดภัย เช่น การจัดให้มีมาตรการควบคุมการเข้าถึงและใช้งานข้อมูลส่วนบุคคล โดยกำหนดสิทธิการเข้าถึงข้อมูล สิทธิในการอนุญาตให้ผู้ที่ได้รับมอบหมายให้เข้าถึงข้อมูลได้ รวมทั้งการจัดให้มีมาตรการสำหรับการตรวจสอบย้อนหลัง เพื่อให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลของท่านและบุคคลเหล่านี้ได้รับการฝึกอบรมและมีความตระหนักรู้เกี่ยวกับความสำคัญของการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 8.3 บริษัทจะจัดให้มีการทบทวนมาตรการดังกล่าว รวมทั้งปรับปรุงและพัฒนามาตรการดังกล่าว เมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้การรักษาความมั่นคงปลอดภัยข้อมูลเป็นไปอย่างมีประสิทธิภาพ
9. สิทธิของเจ้าของข้อมูลส่วนบุคคลและการใช้สิทธิในการดำเนินการดังกล่าว
- 9.1 ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่ระบุ ดังต่อไปนี้
| สิทธิของเจ้าของ ข้อมูลส่วนบุคคล | รายละเอียด |
|---|---|
| สิทธิในการเพิกถอน ความยินยอม (Right to withdraw consent) |
|
| สิทธิในการขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูล (Right to access and retrieve a copy of data) |
|
| สิทธิในการขอให้โอนย้ายข้อมูล (Right to data portability) |
|
| สิทธิในการคัดค้าน การประมวลผลข้อมูล (Right to object to Data Processing) | ท่านมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล ในกรณีที่บริษัท ประมวลผลข้อมูลส่วนบุคคล
|
| สิทธิขอให้ลบหรือทำลายข้อมูล (Right to erasure/Right to be forgotten) | ท่านมีสิทธิขอให้บริษัทดำเนินการลบ ทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ในกรณีต่อไปนี้
|
| สิทธิขอให้ระงับการ ประมวลผลข้อมูล (Right to restriction of Data Processing) | ท่านมีสิทธิขอให้บริษัทระงับการประมวลผลข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
|
| สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง (Right to rectification) | ท่านมีสิทธิขอให้มีบริษัทดำเนินการแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน ครบถ้วนสมบูรณ์ หรือไม่ก่อให้เกิดความเข้าใจผิด |
| สิทธิในการร้องเรียน (Right to lodge a complaint) t | ท่านมีสิทธิร้องเรียนมายังบริษัทหรือหน่วยงานที่มีอำนาจตามกฎหมาย หากท่านเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของท่าน เป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล |
- 9.2 ท่านอาจใช้สิทธิข้างต้นของท่านได้ตลอดเวลา โดยติดต่อผ่านช่องทางการติดต่อตามข้อ 13. เพื่อดำเนินการแจ้งขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- 9.3 การใช้สิทธิดังกล่าวของท่านอาจถูกจำกัดภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้อง และอาจมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฎิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิของท่านได้ ในกรณีนี้บริษัทจะแจ้งเหตุผลของการปฎิเสธพร้อมกับคำตอบสนองต่อคำขอใช้สิทธิดังกล่าว
10. การถอนความยินยอมและผลกระทบที่เป็นไปได้จากการถอนความยินยอม
- 10.1 ในกรณีที่บริษัทประมวลผลข้อมูลส่วนบุคคลโดยอาศัยความยินยอม ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมที่ให้ไว้กับบริษัทได้ตลอดเวลา ทั้งนี้ การถอนความยินยอมนี้จะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมไปแล้วโดยชอบ
- 10.2 หากท่านถอนความยินยอมที่ได้ให้ไว้กับบริษัทหรือไม่ยินยอมที่จะให้ข้อมูลกับบริษัท ไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลให้บริษัทไม่สามารถดำเนินการเพื่อบรรลุวัตถุประสงค์ทั้งหมดหรือบางส่วนตามที่กำหนดไว้ในนโยบายฉบับนี้ได้
11. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ
- 11.1 หากท่านเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และต้องการให้ความยินยอมกับ บริษัทในการประมวลผลข้อมูลส่วนบุคคล ท่านจำเป็นต้องดำเนินการเพื่อให้ได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ก่อนที่จะให้ความยินยอมกับบริษัท
- 11.2 ในกรณีที่บริษัทต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ แต่บริษัทไม่ทราบในขณะประมวลผลถึงข้อเท็จจริงดังกล่าว และต่อมาบริษัทได้ทราบถึงข้อเท็จจริงนั้นในภายหลังว่าบริษัทได้ประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมข้างต้น บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้โดยทันที เว้นแต่เป็นกรณีที่บริษัทสามารถประมวลผลข้อมูลส่วนบุคคลดังกล่าวได้โดยอาศัยฐานทางกฎหมายอื่นและไม่ต้องขอความยินยอม
12. การแก้ไขเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
บริษัทอาจมีการปรับปรุงแก้ไขเพิ่มเติมนโยบายความเป็นส่วนตัวได้ตามความเหมาะสมและสถานการณ์ที่เปลี่ยนแปลงไป โดยหากเป็นการเปลี่ยนแปลงในสาระสำคัญของนโยบายฉบับนี้ บริษัทจะแจ้งการปรับปรุงแก้ไขเพิ่มเติมนโยบายให้ท่านทราบ และขอให้ท่านตรวจสอบนโยบายฉบับนี้เป็นประจำ
13. ช่องทางการติดต่อ
หากท่านมีข้อสงสัยเกี่ยวกับเนื้อหาในนโยบายความเป็นส่วนตัวฉบับนี้ หรือต้องการข้อมูลเพิ่มเติมเกี่ยวกับแนวปฏิบัติของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือมีความประสงค์ต้องการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล กรุณาติดต่อผ่านช่องทางการติดต่อดังนี้
ติดต่อบริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
สถานที่ติดต่อ: บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) 99/1 หมู่ 4 ตำบลแคราย อำเภอกระทุ่มแบน จังหวัดสมุทรสาคร 74110
อีเมล: DPO@nrinstant.com
หมายเลขโทรศัพท์: 034849576-80
14. กฎหมายที่ใช้บังคับ
ท่านตกลงและรับทราบว่านโยบายฉบับนี้อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาชี้ขาดข้อพิพาทใด ๆ ที่อาจเกิดขึ้นจากนโยบายฉบับนี้
นโยบายฉบับนี้ได้รับการอนุมัติจากคณะกรรมการบริษัท ในการประชุมครั้งที่ 9/2568 เมื่อวันที่ 15 พฤษภาคม 2568 ทั้งนี้ให้มีผลบังคับใช้ตั้งแต่วันที่ 16 พฤษภาคม 2568 เป็นต้นไป
สำหรับคู่ค้าทางธุรกิจ
บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) ซึ่งต่อไปนี้จะเรียกว่า "บริษัท" ให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลของคู่ค้า ผู้ที่คาดว่าจะเป็นคู่ค้า และบุคคลธรรมดาที่เกี่ยวข้องหรือเป็นตัวแทนของคู่ค้า และ/หรือผู้ที่คาดว่าจะเป็นคู่ค้าที่กระทำการแทนหรือในนาม อาทิ ผู้บริหาร ผู้ถือหุ้น กรรมการผู้มีอำนาจลงนาม ผู้รับมอบอำนาจ ผู้รับมอบอำนาจช่วง พนักงาน ลูกจ้าง และตัวแทนของนิติบุคคล ที่ได้เข้าร่วมหรือจะเข้าร่วมการทำธุรกรรมกับบริษัท (“ท่าน”) เพื่อให้การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อแจ้งข้อมูลให้ท่านทราบเกี่ยวกับ สิทธิ หน้าที่ ตลอดจนเงื่อนไขต่าง ๆ ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท
1. คำนิยาม
| คำศัพท์ | คำนิยาม |
|---|---|
| กฎหมายคุ้มครองข้อมูลส่วนบุคคล | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงฉบับแก้ไขเพิ่มเติม กฎหมาย กฎหมายลำดับรอง กฎ ระเบียบ ประกาศ หรือคำสั่ง ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล |
| ข้อมูลส่วนบุคคล | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| ข้อมูลส่วนบุคคลอ่อนไหว | ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
| เจ้าของข้อมูลส่วนบุคคล | บุคคลธรรมดาซึ่งถูกทำให้ระบุตัวตนได้ด้วยข้อมูลส่วนบุคคล ไม่ว่าโดยทางตรงหรือทางอ้อม |
| การประมวลผล/ประมวลผล | การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย |
| นโยบาย | นโยบายความเป็นส่วนตัว บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) สำหรับคู่ค้าทางธุรกิจ |
| ผู้ที่คาดว่าจะเป็นคู่ค้า | บุคคลธรรมดาหรือนิติบุคคลที่อาจเป็นคู่ค้ากับบริษัท ทั้งในกรณีที่ได้แสดงเจตนาจะเข้าทำสัญญาหรือจะลงทะเบียนเป็นคู่ค้าของบริษัท ผู้ที่สนใจเข้าร่วมธุรกิจ ผู้ดำเนินงานร่วมกับบริษัท หรือบุคคลอื่นใดที่ขอใบเสนอราคา หรือที่บริษัทเสนอราคาให้เพื่อพิจารณา |
| คู่ค้า | บุคคลธรรมดาหรือนิติบุคคลที่เข้าเสนอราคาเพื่อขายสินค้าหรือบริการ หรือรับจ้างทำของให้แก่บริษัทไม่ว่าจะได้ขึ้นทะเบียนเป็นคู่ค้ากับบริษัทหรือไม่ก็ตาม พันธมิตรทางธุรกิจ ผู้เข้าร่วมธุรกิจ ไม่ว่าจะเป็นการขายให้กับบริษัทโดยตรงหรือว่าเข้าร่วมพัฒนาสินค้าหรือบริการกับบริษัทเพื่อจำหน่ายก็ตาม ผู้ให้บริการ ผู้รับบริการ ผู้ว่าจ้าง ผู้รับจ้าง ที่ปรึกษา ผู้เชี่ยวชาญ นักวิชาการ วิทยากร คู่สัญญาของบริษัท และบุคคลอื่นๆในลักษณะเดียวกัน |
2. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
ในการเก็บรวบรวมและเก็บรักษาข้อมูลส่วนบุคคลบริษัท จะใช้วิธีการที่ชอบด้วยกฎหมายและจำกัดเพียงเท่าที่จำเป็นตามวัดถุประสงค์การดำเนินงานของบริษัท ดังต่อไปนี้
| ประเภท | ตัวอย่างข้อมูลส่วนบุคคล |
|---|---|
| ข้อมูลที่ใช้ระบุตัวตนและคุณลักษณะบุคคล | ชื่อ นามสกุล อายุ เพศ เลขประจำตัวประชาชน เลขประจำตัวคนต่างด้าว เลขประจำตัวผู้เสียภาษี สัญชาติ ลายมือชื่อ รูปภาพ |
| ข้อมูลสำหรับการติดต่อ | ที่อยู่ อีเมล Line ID หมายเลขโทรศัพท์ สถานที่ทำงาน |
| ข้อมูลเกี่ยวกับการศึกษาและการทำงาน | แผนก ตำแหน่งงาน |
| ข้อมูลทางการเงิน | หมายเลขบัญชีธนาคาร |
| ข้อมูลที่ใช้ประกอบเป็นหลักฐานในการทำนิติกรรมต่าง ๆ | สำเนาบัตรประจำตัวประชาชน |
| ข้อมูลทางเทคนิค | IP Address Mac Address |
| ข้อมูลอื่นๆ |
|
โดยทั่วไปแล้ว บริษัทไม่มีความประสงค์ในการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว เช่น ข้อมูลศาสนาและหมู่โลหิตที่ปรากฏอยู่บนหน้าบัตรประจำตัวประชาชนของท่าน หากท่านมอบสำเนาบัตรประชาชนให้แก่บริษัทซึ่งปรากฎข้อมูลดังกล่าว บริษัทขอให้ท่านปกปิดข้อมูลดังกล่าวก่อนส่งมอบให้กับบริษัท หากท่านมิได้ปกปิดข้อมูลข้างต้น ถือว่าท่านยินยอมให้บริษัทดำเนินการปกปิดข้อมูลเหล่านั้น
3. แหล่งที่มาของข้อมูลส่วนบุคคล
บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากแหล่งต่าง ๆ ดังต่อไปนี้
| ประเภท | ตัวอย่างแหล่งข้อมูลส่วนบุคคลที่เก็บรวบรวม |
|---|---|
| ข้อมูลส่วนบุคคลที่ได้รับจากท่านโดยตรง |
|
| ข้อมูลส่วนบุคคลที่ได้รับโดยอัตโนมัติ |
|
| ข้อมูลส่วนบุคคลที่ได้รับจากแหล่งอื่นหรือบุคคลที่สาม |
|
ในกรณีที่ท่านตกลงและยินยอมให้ข้อมูลส่วนบุคคลใด ๆ ที่เกี่ยวข้องกับบุคคลภายนอกให้แก่บริษัท ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดเกี่ยวกับนโยบายให้บุคคลเหล่านั้นทราบอย่างครบถ้วน รวมทั้งขอความยินยอมจากบุคคลภายนอก และท่านมีหน้าที่รับรองและรับประกันความถูกต้องของข้อมูลส่วนบุคคลนั้น
4. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
บริษัทจะประมวลผลข้อมูลส่วนบุคคลของท่าน เพื่อวัตถุประสงค์ต่าง ๆ โดนอาศัยฐานทางกฎหมาย ดังต่อไปนี้
| ลำดับ | ฐานทางกฎหมาย | การใช้ข้อมูลส่วนบุคคล |
|---|---|---|
| 1 | การปฏิบัติตามสัญญา (Performance of Contract) | เป็นการจำเป็นเพื่อปฏิบัติตามสัญญา ซึ่งท่านเป็นคู่สัญญากับบริษัท รวมทั้งเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญา |
| 2 | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) | เป็นการดำเนินงานที่จำเป็นของบริษัทภายใต้ประโยชน์โดยชอบตามกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผล และไม่ละเมิดต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลเกินควร |
| 3 | การปฏิบัติตามกฎหมาย (Legal Obligation) | เป็นการปฏิบัติตามกฎหมาย กฎระเบียบ หรือคำสั่งของหน่วยงานรัฐที่ทำหน้าที่ในการกำกับดูแลบริษัท |
| 4 | ประโยชน์สำคัญต่อชีวิต (Vital Interest) | เป็นการดำเนินงานเพื่อปกป้องประโยชน์สำคัญของเจ้าของข้อมูลส่วนบุคคล เช่น การปกป้องอันตรายต่อชีวิต ร่างกาย และสุขภาพ ของเจ้าของข้อมูลส่วนบุคคล |
| 5 | ความยินยอม (Consent) | ในกรณีที่บริษัทมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลอ่อนไหว ซึ่งไม่สามารถอาศัยฐานทางกฎหมายตามที่ระบุไว้ข้างต้นได้ บริษัทจะแจ้งและขอความยินยอมโดยชัดแจ้งเป็นการเฉพาะจากท่าน |
| ลำดับ | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| 1 | เพื่อการพิจารณาคุณสมบัติและความเหมาะสมของผู้ขึ้นทะเบียนและลงทะเบียนเป็นคู่ค้า การเปิดคู่ค้ารายใหม่ ตลอดจนการดำเนินการใด ๆ ในขั้นตอนการขึ้นทะเบียนคู่ค้า เช่น การตรวจสอบประวัติ การยืนยันตัวตนของท่าน และการดำเนินการตามคำขอต่าง ๆ ของท่านในระบบของบริษัท เช่น การเปลี่ยนแปลงแก้ไขข้อมูลของท่าน |
|
| 2 | เพื่อการดำเนินการในกระบวนการสรรหาและคัดเลือก การประเมินคุณสมบัติ ความเหมาะสมของท่าน ตามกระบวนการจัดซื้อจัดจ้างของบริษัท การเปรียบเทียบราคา | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 3 | เพื่อการพิจารณาลงนามในสัญญา และการดำเนินการของบริษัทตามคำขอของท่านก่อนการเข้าทำสัญญา อาทิ สัญญาว่าจ้าง สัญญาบริการ สัญญาทางการค้า บันทึกข้อตกลง (MOU) สัญญารักษาความลับและอื่นๆ การบริหารจัดการของบริษัทให้เป็นไปตามสัญญา |
|
| 4 | เพื่อการดำเนินการใด ๆ ให้เป็นไปตามสัญญาของบริษัท การแจ้งข้อมูลจำเป็นต่อท่านเพื่อการปฏิบัติตามสัญญา การติดต่อสื่อสารทางธุรกิจ การให้บริการในฐานะคู่ค้า ผู้ให้บริการ | การปฏิบัติตามสัญญา (Performance of Contract) |
| 5 | เพื่อการประชาสัมพันธ์ข้อมูลเกี่ยวกับการดำเนินงานของบริษัท การจัดทำข่าว การจัดทำประกาศเพื่อการประชาสัมพันธ์ | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 6 | เพื่อเก็บข้อมูลการติดต่อสื่อสารในระบบฐานข้อมูลเพื่อการติดต่อและสร้างโอกาสทางธุรกิจในอนาคต | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 7 | เพื่อการเรียกเก็บเงินหรือหนี้ที่ท่านค้างชำระอยู่กับบริษัท การเข้าทำธุรกรรม การชำระเงิน รวมไปถึงการดำเนินงานต่าง ๆ ให้เป็นผลสำเร็จแก่การทำธุรกรรม การตรวจสอบความถูกต้องของบัญชี การออกเอกสารประกอบการบันทึกบัญชีทั้งการตั้งหนี้ การตั้งค้างจ่าย เช่น ใบกำกับภาษี ใบสำคัญจ่ายเงิน ใบเสร็จรับเงิน และหนังสือรับรองการหักภาษี ณ ที่จ่าย |
|
| 8 | เพื่อการควบคุมภายในองค์กร การบริหารจัดการภายในบริษัทและบริษัทในเครือ การกำกับดูแลกิจการที่ดี การตรวจสอบจากภายในและจากภายนอก รวมทั้งการประสานงานกับผู้ให้บริการด้านการกำกับตรวจสอบบริษัทและบริษัทในเครือ |
|
| 9 | เพื่อการบริหารจัดการด้านเทคโนโลยีสารสนเทศ เช่น การสำรองข้อมูล การบันทึกข้อมูลการเข้าใช้งาน ข้อมูลการจราจรบนเทคโนโลยีสารสนเทศของบริษัท |
|
| 10 | เพื่อดูแลรักษาความปลอดภัยของชีวิต ร่างกาย สุขภาพและทรัพย์สินของท่านภายในและบริเวณโดยรอบของบริษัท เช่น การสอดส่องดูแลด้วยกล้องวงจรปิด (CCTV) |
|
| 11 | เพื่อการก่อตั้งสิทธิเรียกร้องทางกฎหมาย การปฏิบัติหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือการยกขึ้นสู้ซึ่งสิทธิเรียกร้องตามกฎหมาย ซึ่งรวมถึงแต่ไม่จำกัดเพียงการดำเนินคดี การบังคับคดี หรือการดำเนินการใด ๆ ตามกระบวนการทางกฎหมาย | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 12 | เพื่อปฏิบัติตามกฎหมาย กฎระเบียบ ข้อบังคับ ทั้งในประเทศและต่างประเทศที่ใช้บังคับ และเพื่อปฏิบัติตามคำสั่งของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายหรือเจ้าพนักงานที่มีอำนาจหน้าที่ตามกฎหมาย | การปฏิบัติตามกฎหมาย (Legal Obligation) |
| 13 | เพื่อการบริหารความเสี่ยง การตรวจสอบความน่าเชื่อถือของท่านเพื่อเป็นการเฝ้าระวัง ตรวจสอบและรายงานถึงการทุจริต การประพฤติมิชอบ อาชญากรรมทางการเงิน และอาชญากรรมอื่นๆ | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
5. การเปิดเผยข้อมูลส่วนบุคคล
- 5.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านไปยังบุคคลภายในและภายนอกบริษัท ดังต่อไปนี้
หน่วยงานภายในบริษัท บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ บุคลากรของบริษัท หน่วยงานภายในบริษัท โดยหมายรวมถึง ผู้บริหาร หัวหน้างาน พนักงาน อย่างไรก็ดี บริษัทจะจำกัดแค่เฉพาะผู้ที่เกี่ยวข้องและมีความจำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลเท่านั้น
พันธมิตรทางธุรกิจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่พันธมิตรทางธุรกิจในเชิงการบริหารจัดการในเชิงการปฏิบัติงานของบริษัท ซึ่งรวมไปถึง ตัวแทน ผู้รับมอบอำนาจ ขององค์กรนั้นด้วย เช่น ธนาคาร สถาบันการเงิน บริษัทประกันภัย เป็นต้น
ผู้ให้บริการ บริษัทอาจว่าจ้างผู้ให้บริการภายนอก (Outsource) เป็นผู้ให้บริการแทนหรือสนับสนุนการดำเนินธุรกิจของบริษัทและการให้บริการแก่ลูกค้า ซึ่งรวมไปถึง ตัวแทน ผู้รับจ้าง ผู้รับจ้างช่วง ของผู้ให้บริการนั้นด้วย เช่น ผู้ให้บริการจัดการเว็บไซต์และสื่อสารสนเทศ
ที่ปรึกษาวิชาชีพ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ ผู้ตรวจสอบบัญชี ผู้ตรวจสอบการบริหารงานของบริษัท ที่ปรึกษาในด้านต่าง ๆ ผู้ให้บริการทางวิชาชีพและผู้เชี่ยวชาญอื่นใดทั้งภายในและภายนอกบริษัท เพื่อสนับสนุนการดำเนินธุรกิจของบริษัท
หน่วยงานรัฐที่มีอำนาจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านหน่วยงานราชการ หน่วยงานที่ทำหน้าที่กำกับดูแลบริษัท หรือหน่วยงานอื่นที่มีอำนาจหน้าที่ตามที่กฎหมายกำหนด เพื่อการปฏิบัติตามกฎหมาย อาทิ กรมสรรพากร สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ศาล รวมทั้งเจ้าหน้าที่รัฐที่มีอำนาจในการเข้าถึงข้อมูลส่วนบุคคล เช่น เจ้าหน้าที่ตำรวจ
สื่อสาธารณะ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์บนสื่อสาธารณะ ไม่ว่าจะเป็นในรูปแบบสารสนเทศหรือไม่ก็ตาม ซึ่งบุคคลทั่วไปสามารถเข้าถึงได้ ไม่ว่าจะเป็นโซเชียลมีเดียหรือช่องทางการสื่อสารของบริษัท หรือเป็นเว็บไซต์ของหน่วยงานรัฐที่มีอำนาจที่เกี่ยวข้อง
- 5.2 บริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลส่วนบุคคลของท่านอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และจะดำเนินการเพื่อป้องกันไม่ให้มีการประมวลผลข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงจะดำเนินการภายใต้วัตถุประสงค์ที่กำหนดในนโยบายฉบับนี้หรือวัตถุประสงค์อื่นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้กระทำได้เท่านั้น โดยในกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ต้องขอความยินยอมจากท่าน บริษัทจะแจ้งและขอความยินยอมจากท่านเป็นการเฉพาะ
6. การส่งต่อหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
- 6.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ ทั้งนี้ หากมีความจำเป็นที่บริษัทจะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ บริษัทจะแจ้งและขอความยินยอมโดยชัดแจ้งจากท่านสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเป็นการเฉพาะ
- 6.2 ในการส่งต่อหรือโอนข้อมูลดังกล่าว บริษัทจะจัดให้มีมาตรการการคุ้มครองและรักษาความปลอดภัยที่เหมาะสม และจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทจะดำเนินการตามมาตรการเพื่อทำให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอหรือเป็นไปตามเงื่อนไขตามที่กฎหมายกำหนดอื่นๆ
- 6.3 บริษัทอาจเก็บข้อมูลส่วนบุคคลของท่านบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชั่นของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของของท่าน ทั้งนี้ บริษัทจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคล และจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม
7. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
- 7.1 บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของท่านในระยะเวลาเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่บริษัทดำเนินความสัมพันธ์กับท่านและแนวปฏิบัติต่อข้อมูลส่วนบุคคลแต่ละประเภท โดยปกติบริษัทจะเก็บข้อมูลส่วนบุคคลของท่านเป็นระยะเวลาไม่เกิน 10 ปีนับแต่วันที่ลูกค้ายุติความสัมพันธ์
- 7.2 เมื่อพ้นระยะเวลาที่ระบุไว้ข้างต้นหรือเมื่อหมดความจำเป็นที่จะต้องเก็บรักษาข้อมูลส่วนบุคคลของท่าน บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้โดยทันที ทั้งนี้ บริษัท อาจเก็บรักษาข้อมูลส่วนบุคคลของท่านทั้งหมดหรือบางส่วนเกินกว่าระยะเวลาที่ระบุไว้ข้างต้น เพื่อการปฏิบัติตามกฎหมายหรือคำสั่งโดยชอบด้วยกฎหมาย
- 7.3 บริษัท ได้จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาในการเก็บรักษาหรือหมดความจำเป็นในการประมวลผลข้อมูลนั้น
8. การประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม
บริษัทมีสิทธิในการประมวลผลข้อมูลส่วนบุคคลของท่านที่บริษัทได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับต่อไปตามวัตถุประสงค์เดิม หากท่านไม่ประสงค์ที่จะให้บริษัท ดำเนินการประมวลผลข้อมูลส่วนบุคคลดังกล่าวต่อไป ท่านสามารถขอถอนความยินยอมของท่านเมื่อใดก็ได้ โดยเงื่อนไขของการถอนความยินยอมเป็นไปตามข้อ 10.2
9. มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.1 บริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งมาตรการป้องกันด้านการบริหารจัดการ (administrative measure) มาตรการป้องกันด้านเทคนิค (technical measure) และมาตรการป้องกันทางกายภาพ (physical measure) เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพพร้อมใช้งานของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูลส่วนบุคคลจากผู้ที่ไม่มีสิทธิหรือหน้าที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้น
- 9.2 บริษัทได้มีการบังคับใช้มาตรการรักษาความมั่นคงปลอดภัยภายในบริษัท อย่างเข้มงวด โดยใช้เทคโนโลยีและขั้นตอนการรักษาความมั่นคงปลอดภัย อาทิ การจัดให้มีมาตรการควบคุมการเข้าถึงและใช้งานข้อมูลส่วนบุคคล โดยกำหนดสิทธิการเข้าถึงข้อมูล สิทธิในการอนุญาตให้ผู้ที่ได้รับมอบหมายให้เข้าถึงข้อมูลได้ รวมทั้งการจัดให้มีมาตรการสำหรับการตรวจสอบย้อนหลัง เพื่อให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลของท่านและบุคคลเหล่านี้ได้รับการฝึกอบรมและมีความตระหนักรู้เกี่ยวกับความสำคัญของการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.3 บริษัทจะจัดให้มีการทบทวนมาตรการดังกล่าว รวมทั้งปรับปรุงและพัฒนามาตรการดังกล่าว เมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้การรักษาความมั่นคงปลอดภัยข้อมูลเป็นไปอย่างมีประสิทธิภาพ
10. สิทธิของเจ้าของข้อมูลส่วนบุคคลและการใช้สิทธิในการดำเนินการดังกล่าว
- 10.1 ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่ระบุ ดังต่อไปนี้
| สิทธิของเจ้าของ ข้อมูลส่วนบุคคล | รายละเอียด |
|---|---|
| สิทธิในการเพิกถอน ความยินยอม (Right to withdraw consent) |
|
| สิทธิในการขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูล (Right to access and retrieve a copy of data) |
|
| สิทธิในการขอให้โอนย้ายข้อมูล (Right to data portability) |
|
| สิทธิในการคัดค้าน การประมวลผลข้อมูล (Right to object to Data Processing) | ท่านมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล ในกรณีที่บริษัท ประมวลผลข้อมูลส่วนบุคคล
|
| สิทธิขอให้ลบหรือทำลายข้อมูล (Right to erasure/Right to be forgotten) | ท่านมีสิทธิขอให้บริษัทดำเนินการลบ ทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ในกรณีต่อไปนี้
|
| สิทธิขอให้ระงับการ ประมวลผลข้อมูล (Right to restriction of Data Processing) | ท่านมีสิทธิขอให้บริษัทระงับการประมวลผลข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
|
| สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง (Right to rectification) | ท่านมีสิทธิขอให้มีบริษัทดำเนินการแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน ครบถ้วนสมบูรณ์ หรือไม่ก่อให้เกิดความเข้าใจผิด |
| สิทธิในการร้องเรียน (Right to lodge a complaint) | ท่านมีสิทธิร้องเรียนมายังบริษัทหรือหน่วยงานที่มีอำนาจตามกฎหมาย หากท่านเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของท่าน เป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล |
- 10.2 ท่านอาจใช้สิทธิข้างต้นของท่านได้ตลอดเวลา โดยติดต่อผ่านช่องทางการติดต่อตามข้อ 14. เพื่อดำเนินการแจ้งขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- 10.3 การใช้สิทธิดังกล่าวของท่านอาจถูกจำกัดภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้อง และอาจมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฎิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิของท่านได้ ในกรณีนี้บริษัทจะแจ้งเหตุผลของการปฎิเสธพร้อมกับคำตอบสนองต่อคำขอใช้สิทธิดังกล่าว
11. การถอนความยินยอมและผลกระทบที่เป็นไปได้จากการถอนความยินยอม
- 11.1 ในกรณีที่บริษัทประมวลผลข้อมูลส่วนบุคคลโดยอาศัยความยินยอม ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมที่ให้ไว้กับบริษัทได้ตลอดเวลา ทั้งนี้ การถอนความยินยอมนี้จะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมไปแล้วโดยชอบ
- 11.2 หากท่านถอนความยินยอมที่ได้ให้ไว้กับบริษัทหรือไม่ยินยอมที่จะให้ข้อมูลกับบริษัท ไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลให้บริษัทไม่สามารถดำเนินการเพื่อบรรลุวัตถุประสงค์ทั้งหมดหรือบางส่วนตามที่กำหนดไว้ในนโยบายฉบับนี้ได้
12. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ
- 12.1 หากท่านเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และต้องการให้ความยินยอมกับ บริษัทในการประมวลผลข้อมูลส่วนบุคคล ท่านจำเป็นต้องดำเนินการเพื่อให้ได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ก่อนที่จะให้ความยินยอมกับบริษัท
- 12.2 ในกรณีที่บริษัทต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ แต่บริษัทไม่ทราบในขณะประมวลผลถึงข้อเท็จจริงดังกล่าว และต่อมาบริษัทได้ทราบถึงข้อเท็จจริงนั้นในภายหลังว่าบริษัทได้ประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมข้างต้น บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้โดยทันที เว้นแต่เป็นกรณีที่บริษัทสามารถประมวลผลข้อมูลส่วนบุคคลดังกล่าวได้โดยอาศัยฐานทางกฎหมายอื่นและไม่ต้องขอความยินยอม
13. การแก้ไขเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
บริษัทอาจมีการปรับปรุงแก้ไขเพิ่มเติมนโยบายความเป็นส่วนตัวได้ตามความเหมาะสมและสถานการณ์ที่เปลี่ยนแปลงไป โดยหากเป็นการเปลี่ยนแปลงในสาระสำคัญของนโยบายฉบับนี้ บริษัทจะแจ้งการปรับปรุงแก้ไขเพิ่มเติมนโยบายให้ท่านทราบ และขอให้ท่านตรวจสอบนโยบายฉบับนี้เป็นประจำ
14. ช่องทางการติดต่อ
หากท่านมีข้อสงสัยเกี่ยวกับเนื้อหาในนโยบายความเป็นส่วนตัวฉบับนี้ หรือต้องการข้อมูลเพิ่มเติมเกี่ยวกับแนวปฏิบัติของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือมีความประสงค์ต้องการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล กรุณาติดต่อผ่านช่องทางการติดต่อดังนี้
ติดต่อบริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
สถานที่ติดต่อ: บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) 99/1 หมู่ 4 ตำบลแคราย อำเภอกระทุ่มแบน จังหวัดสมุทรสาคร 74110
อีเมล: DPO@nrinstant.com
หมายเลขโทรศัพท์: 034849576-80
15. กฎหมายที่ใช้บังคับ
ท่านตกลงและรับทราบว่านโยบายฉบับนี้อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาชี้ขาดข้อพิพาทใด ๆ ที่อาจเกิดขึ้นจากนโยบายฉบับนี้
นโยบายฉบับนี้ได้รับการอนุมัติจากคณะกรรมการบริษัท ในการประชุมครั้งที่ 9/2568 เมื่อวันที่ 15 พฤษภาคม 2568 ทั้งนี้ให้มีผลบังคับใช้ตั้งแต่วันที่ 16 พฤษภาคม 2568 เป็นต้นไป
สำหรับผู้มาติดต่อและผู้ขอเข้าอาคาร
บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) ซึ่งต่อไปนี้จะเรียกว่า "บริษัท" ให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลของผู้มาติดต่อและผู้ขอเข้าอาคาร (“ท่าน”) เพื่อให้การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อแจ้งข้อมูลให้ท่านทราบเกี่ยวกับ สิทธิ หน้าที่ ตลอดจนเงื่อนไขต่าง ๆ ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท
1. คำนิยาม
| คำศัพท์ | คำนิยาม |
|---|---|
| กฎหมายคุ้มครองข้อมูลส่วนบุคคล | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงฉบับแก้ไขเพิ่มเติม กฎหมาย กฎหมายลำดับรอง กฎ ระเบียบ ประกาศ หรือคำสั่ง ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล |
| ข้อมูลส่วนบุคคล | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| ข้อมูลส่วนบุคคลอ่อนไหว | ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
| เจ้าของข้อมูลส่วนบุคคล | บุคคลธรรมดาซึ่งถูกทำให้ระบุตัวตนได้ด้วยข้อมูลส่วนบุคคล ไม่ว่าโดยทางตรงหรือทางอ้อม |
| การประมวลผล/ประมวลผล | การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย |
| นโยบาย | นโยบายความเป็นส่วนตัว บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) สำหรับผู้มาติดต่อ ผู้ขอเข้าอาคาร |
| ผู้มาติดต่อ/ผู้ขอเข้าอาคาร | ผู้ที่แจ้งความประสงค์กับบริษัทเพื่อขอเข้าใช้บริการ เข้าเยี่ยมชม เข้าปฏิบัติงานหรือทำธุรกรรมใด ๆ กับบริษัทในอาคาร โรงงาน สถานที่ปฏิบัติงาน หรือพื้นที่เฉพาะภายในบริเวณของบริษัท |
2. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
ในการเก็บรวบรวมและเก็บรักษาข้อมูลส่วนบุคคลบริษัท จะใช้วิธีการที่ชอบด้วยกฎหมายและจำกัดเพียงเท่าที่จำเป็นตามวัดถุประสงค์การดำเนินงานของบริษัท ดังต่อไปนี้
| ประเภท | ตัวอย่างข้อมูลส่วนบุคคล |
|---|---|
| ข้อมูลที่ใช้ระบุตัวตนและคุณลักษณะบุคคล | ชื่อ นามสกุล อายุ เลขประจำตัวประชาชน ลายมือชื่อ |
| ข้อมูลสำหรับการติดต่อ | ชื่อบริษัท ชื่อหน่วยงานที่ทำงานอยู่ |
| ข้อมูลที่ใช้ประกอบเป็นหลักฐานในการทำนิติกรรมต่าง ๆ | เลขทะเบียนรถ |
| ข้อมูลส่วนบุคคลอื่น | ภาพนิ่ง ภาพเคลื่อนไหว เสียงที่บันทึกโดยกล้องวงจรปิด (CCTV) |
| ข้อมูลส่วนบุคคลอ่อนไหว | อาการเจ็บป่วย อาการบาดเจ็บ |
3. แหล่งที่มาของข้อมูลส่วนบุคคล
บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากแหล่งต่าง ๆ ดังต่อไปนี้
| ประเภท | ตัวอย่างแหล่งข้อมูลส่วนบุคคลที่เก็บรวบรวม |
|---|---|
| ข้อมูลส่วนบุคคลที่ได้รับจากท่านโดยตรง |
|
| ข้อมูลส่วนบุคคลที่ได้รับโดยอัตโนมัติ | ภาพนิ่ง ภาพเคลื่อนไหว เสียง ที่บันทึกผ่านกล้องวงจรปิดในบริเวณบริษัทs |
| ข้อมูลส่วนบุคคลที่ได้รับจากแหล่งอื่นหรือบุคคลที่สาม |
|
ในกรณีที่ท่านตกลงและยินยอมให้ข้อมูลส่วนบุคคลใด ๆ ที่เกี่ยวข้องกับบุคคลภายนอกให้แก่บริษัท ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดเกี่ยวกับนโยบายให้บุคคลเหล่านั้นทราบอย่างครบถ้วน รวมทั้งขอความยินยอมจากบุคคลภายนอก และท่านมีหน้าที่รับรองและรับประกันความถูกต้องของข้อมูลส่วนบุคคลนั้น
4. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
บริษัทจะประมวลผลข้อมูลส่วนบุคคลของท่าน เพื่อวัตถุประสงค์ต่าง ๆ โดนอาศัยฐานทางกฎหมาย ดังต่อไปนี้
| ลำดับ | ฐานทางกฎหมาย | การใช้ข้อมูลส่วนบุคคล |
|---|---|---|
| 1 | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) | เป็นการดำเนินงานที่จำเป็นของบริษัทภายใต้ประโยชน์โดยชอบตามกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผล และไม่ละเมิดต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลเกินควร |
| 2 | การปฏิบัติตามกฎหมาย (Legal Obligation) | เป็นการปฏิบัติตามกฎหมาย กฎระเบียบ หรือคำสั่งของหน่วยงานรัฐที่ทำหน้าที่ในการกำกับดูแลบริษัท ซึ่งรวมไปถึงการดำเนินการที่จำเป็นในกระบวนการทางกฎหมาย |
| 3 | ประโยชน์สำคัญต่อชีวิต (Vital Interest) | เป็นการดำเนินงานเพื่อปกป้องประโยชน์สำคัญของเจ้าของข้อมูลส่วนบุคคล เช่น การปกป้องอันตรายต่อชีวิต ร่างกาย และสุขภาพ ของเจ้าของข้อมูลส่วนบุคคล |
| 4 | ความยินยอม (Consent) | ในกรณีที่บริษัทมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลซึ่งไม่สามารถอาศัยฐานทางกฎหมายตามที่ระบุไว้ข้างต้น บริษัทจะแจ้งและขอความยินยอมเป็นการเฉพาะจากท่าน และจะประมวลผลข้อมูลส่วนบุคคลอ่อนไหวในกรณีที่สามารถทำได้ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือได้รับความยินยอมโดยชัดแจ้งจากท่าน |
| ลำดับ | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| 1 | เพื่อควบคุมการเข้าอาคาร โรงงาน สถานที่ปฏิบัติงาน หรือพื้นที่เฉพาะภายในบริเวณของบริษัทของท่าน ตลอดจนเพื่อสังเกตการณ์ ป้องกันและขัดขวาง ตลอดจนตรวจสอบการเข้าบริเวณดังกล่าวโดยไม่ได้รับอนุญาต รวมไปถึงการแลกบัตร การลงทะเบียน การบันทึกประวัติและข้อมูลที่จำเป็นของท่าน | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 2 | เพื่อรักษาความปลอดภัยในชีวิต ร่างกาย สุขภาพ และทรัพย์สินของท่าน รวมไปถึงความปลอดภัยของอาคาร โรงงาน สถานที่ปฏิบัติงาน หรือพื้นที่เฉพาะภายในบริเวณของบริษัท ตลอดจนทรัพย์สินของบริษัท รวมทั้งจัดให้มีการดำเนินการตามกระบวนการภายในอันจำเป็นก่อนการเข้าปฏิบัติงานใด ๆ ภายในบริษัท |
|
| 3 | เพื่อควบคุมการเข้าถึงแหล่งเทคโนโลยีสารสนเทศและฐานข้อมูลของบริษัท ตลอดจนเพื่อสังเกตการณ์ ป้องกัน ขัดขวาง และตรวจสอบการเข้าถึงโดยไม่ได้รับอนุญาต | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 4 | เพื่อการบริหารจัดการด้านสุขอนามัยและความปลอดภัย ตลอดจนการปฏิบัติตามกฎหมายที่เกี่ยวข้องกับความปลอดภัยและประโยชน์ด้านสาธารณสุข |
|
| 5 | เพื่อป้องกันและระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่าน เช่น การติดต่อในกรณีฉุกเฉิน การนำส่งโรงพยาบาล การบันทึกประวัติการเดินทาง การดำเนินการตามมาตรการควบคุมโรคติดต่อ |
|
| 6 | เพื่อการก่อตั้งสิทธิเรียกร้องทางกฎหมาย การปฏิบัติหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือการยกขึ้นสู้ซึ่งสิทธิเรียกร้องตามกฎหมาย ซึ่งรวมถึงแต่ไม่จำกัดเพียงการดำเนินคดี การบังคับคดี หรือการดำเนินการใด ๆ ตามกระบวนการทางกฎหมาย | ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) |
| 7 | เพื่อปฏิบัติตามกฎหมาย กฎระเบียบ ข้อบังคับ ทั้งในประเทศและต่างประเทศที่ใช้บังคับ และเพื่อปฏิบัติตามคำสั่งของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายหรือเจ้าพนักงานที่มีอำนาจหน้าที่ตามกฎหมาย รวมทั้งการดำเนินการต่าง ๆ ตามกระบวนการทางกฎหมาย | การปฏิบัติตามกฎหมาย (Legal Obligation) |
5. การเปิดเผยข้อมูลส่วนบุคคล
- 5.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านไปยังบุคคลภายในและภายนอกบริษัท ดังต่อไปนี้
หน่วยงานภายในบริษัท บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ บุคลากรของบริษัท หน่วยงานภายในบริษัท โดยหมายรวมถึง ผู้บริหาร หัวหน้างาน พนักงาน อย่างไรก็ดี บริษัทจะจำกัดแค่เฉพาะผู้ที่เกี่ยวข้องและมีความจำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลเท่านั้น
ผู้ให้บริการ บริษัทอาจว่าจ้างผู้ให้บริการภายนอก (Outsource) เป็นผู้ให้บริการแทนหรือสนับสนุนการดำเนินธุรกิจของบริษัทและการให้บริการแก่ลูกค้า ซึ่งรวมไปถึง ตัวแทน ผู้รับจ้าง ผู้รับจ้างช่วง ของผู้ให้บริการนั้นด้วย เช่น บริษัทให้บริการรักษาความปลอดภัย
ที่ปรึกษาวิชาชีพ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ ผู้ตรวจสอบการบริหารงานของบริษัท ที่ปรึกษาในด้านต่าง ๆ และผู้เชี่ยวชาญอื่นใดทั้งภายในและภายนอกบริษัท เพื่อสนับสนุนการดำเนินธุรกิจของบริษัท
หน่วยงานรัฐที่มีอำนาจ บริษัทอาจต้องเปิดเผยข้อมูลส่วนบุคคลของท่านหน่วยงานราชการ หน่วยงานที่ทำหน้าที่กำกับดูแลบริษัท หรือหน่วยงานอื่นที่มีอำนาจหน้าที่ตามที่กฎหมายกำหนด เพื่อการปฏิบัติตามกฎหมาย เช่น สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ศาล รวมทั้งเจ้าหน้าที่รัฐที่มีอำนาจในการเข้าถึงข้อมูลส่วนบุคคล เช่น เจ้าหน้าที่ตำรวจ อัยการ
- 5.2 บริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลส่วนบุคคลของท่านอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และจะดำเนินการเพื่อป้องกันไม่ให้มีการประมวลผลข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงจะดำเนินการภายใต้วัตถุประสงค์ที่กำหนดในนโยบายฉบับนี้หรือวัตถุประสงค์อื่นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้กระทำได้เท่านั้น โดยในกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ต้องขอความยินยอมจากท่าน บริษัทจะแจ้งและขอความยินยอมจากท่านเป็นการเฉพาะ
6. การส่งต่อหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
- 6.1 ในการดำเนินการเพื่อบรรลุวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายฉบับนี้ บริษัทอาจส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ ทั้งนี้ หากมีความจำเป็นที่บริษัทจะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ บริษัทจะแจ้งและขอความยินยอมโดยชัดแจ้งจากท่านสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเป็นการเฉพาะ
- 6.2 ในการส่งต่อหรือโอนข้อมูลดังกล่าว บริษัทจะจัดให้มีมาตรการการคุ้มครองและรักษาความปลอดภัยที่เหมาะสม และจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทจะดำเนินการตามมาตรการเพื่อทำให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอหรือเป็นไปตามเงื่อนไขตามที่กฎหมายกำหนดอื่นๆ
- 6.3 บริษัทอาจเก็บข้อมูลส่วนบุคคลของท่านบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชั่นของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของของท่าน ทั้งนี้ บริษัทจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคล และจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม
7. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
- 7.1 บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของท่านในระยะเวลาเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่บริษัทดำเนินความสัมพันธ์กับท่านและแนวปฏิบัติต่อข้อมูลส่วนบุคคลแต่ละประเภท โดยปกติบริษัทจะเก็บข้อมูลส่วนบุคคลของท่านเป็นระยะเวลาไม่เกิน 4 ปีนับแต่วันที่ดำเนินการจัดเก็บข้อมูล
- 7.2 เมื่อพ้นระยะเวลาที่ระบุไว้ข้างต้นหรือเมื่อหมดความจำเป็นที่จะต้องเก็บรักษาข้อมูลส่วนบุคคลของท่าน บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้โดยทันที ทั้งนี้ บริษัท อาจเก็บรักษาข้อมูลส่วนบุคคลของท่านทั้งหมดหรือบางส่วนเกินกว่าระยะเวลาที่ระบุไว้ข้างต้น เพื่อการปฏิบัติตามกฎหมายหรือคำสั่งโดยชอบด้วยกฎหมาย
- 7.3 บริษัท ได้จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาในการเก็บรักษาหรือหมดความจำเป็นในการประมวลผลข้อมูลนั้น
8. การประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม
บริษัทมีสิทธิในการประมวลผลข้อมูลส่วนบุคคลของท่านที่บริษัทได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับต่อไปตามวัตถุประสงค์เดิม หากท่านไม่ประสงค์ที่จะให้บริษัท ดำเนินการประมวลผลข้อมูลส่วนบุคคลดังกล่าวต่อไป ท่านสามารถขอถอนความยินยอมของท่านเมื่อใดก็ได้ โดยเงื่อนไขของการถอนความยินยอมเป็นไปตามข้อ 10.2
9. มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.1 บริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งมาตรการป้องกันด้านการบริหารจัดการ (administrative measure) มาตรการป้องกันด้านเทคนิค (technical measure) และมาตรการป้องกันทางกายภาพ (physical measure) เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพพร้อมใช้งานของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูลส่วนบุคคลจากผู้ที่ไม่มีสิทธิหรือหน้าที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้น
- 9.2 บริษัทได้มีการบังคับใช้มาตรการรักษาความมั่นคงปลอดภัยภายในบริษัท อย่างเข้มงวด โดยใช้เทคโนโลยีและขั้นตอนการรักษาความมั่นคงปลอดภัย เช่น การจัดให้มีมาตรการควบคุมการเข้าถึงและใช้งานข้อมูลส่วนบุคคล โดยกำหนดสิทธิการเข้าถึงข้อมูล สิทธิในการอนุญาตให้ผู้ที่ได้รับมอบหมายให้เข้าถึงข้อมูลได้ รวมทั้งการจัดให้มีมาตรการสำหรับการตรวจสอบย้อนหลัง เพื่อให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลของท่านและบุคคลเหล่านี้ได้รับการฝึกอบรมและมีความตระหนักรู้เกี่ยวกับความสำคัญของการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
- 9.3 บริษัทจะจัดให้มีการทบทวนมาตรการดังกล่าว รวมทั้งปรับปรุงและพัฒนามาตรการดังกล่าว เมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้การรักษาความมั่นคงปลอดภัยข้อมูลเป็นไปอย่างมีประสิทธิภาพ
10. สิทธิของเจ้าของข้อมูลส่วนบุคคลและการใช้สิทธิในการดำเนินการดังกล่าว
- 10.1 ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่ระบุ ดังต่อไปนี้
| สิทธิของเจ้าของ ข้อมูลส่วนบุคคล | รายละเอียด |
|---|---|
| สิทธิในการเพิกถอน ความยินยอม (Right to withdraw consent) |
|
| สิทธิในการขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูล (Right to access and retrieve a copy of data) |
|
| สิทธิในการขอให้โอนย้ายข้อมูล (Right to data portability) |
|
| สิทธิในการคัดค้าน การประมวลผลข้อมูล (Right to object to Data Processing) | ท่านมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล ในกรณีที่บริษัท ประมวลผลข้อมูลส่วนบุคคล
|
| สิทธิขอให้ลบหรือทำลายข้อมูล (Right to erasure/Right to be forgotten) | ท่านมีสิทธิขอให้บริษัทดำเนินการลบ ทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ในกรณีต่อไปนี้
|
| สิทธิขอให้ระงับการ ประมวลผลข้อมูล (Right to restriction of Data Processing) | ท่านมีสิทธิขอให้บริษัทระงับการประมวลผลข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
|
| สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง (Right to rectification) | ท่านมีสิทธิขอให้มีบริษัทดำเนินการแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน ครบถ้วนสมบูรณ์ หรือไม่ก่อให้เกิดความเข้าใจผิด |
| สิทธิในการร้องเรียน (Right to lodge a complaint) | ท่านมีสิทธิร้องเรียนมายังบริษัทหรือหน่วยงานที่มีอำนาจตามกฎหมาย หากท่านเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของท่าน เป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล |
- 10.2 ท่านอาจใช้สิทธิข้างต้นของท่านได้ตลอดเวลา โดยติดต่อผ่านช่องทางการติดต่อตามข้อ 14. เพื่อดำเนินการแจ้งขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- 10.3 การใช้สิทธิดังกล่าวของท่านอาจถูกจำกัดภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้อง และอาจมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฎิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิของท่านได้ ในกรณีนี้บริษัทจะแจ้งเหตุผลของการปฎิเสธพร้อมกับคำตอบสนองต่อคำขอใช้สิทธิดังกล่าว
11. การถอนความยินยอมและผลกระทบที่เป็นไปได้จากการถอนความยินยอม
- 11.1 ในกรณีที่บริษัทประมวลผลข้อมูลส่วนบุคคลโดยอาศัยความยินยอม ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมที่ให้ไว้กับบริษัทได้ตลอดเวลา ทั้งนี้ การถอนความยินยอมนี้จะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมไปแล้วโดยชอบ
- 11.2 หากท่านถอนความยินยอมที่ได้ให้ไว้กับบริษัทหรือไม่ยินยอมที่จะให้ข้อมูลกับบริษัท ไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลให้บริษัทไม่สามารถดำเนินการเพื่อบรรลุวัตถุประสงค์ทั้งหมดหรือบางส่วนตามที่กำหนดไว้ในนโยบายฉบับนี้ได้
12. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ
- 12.1 หากท่านเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และต้องการให้ความยินยอมกับ บริษัทในการประมวลผลข้อมูลส่วนบุคคล ท่านจำเป็นต้องดำเนินการเพื่อให้ได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ก่อนที่จะให้ความยินยอมกับบริษัท
- 12.2 ในกรณีที่บริษัทต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ แต่บริษัทไม่ทราบในขณะประมวลผลถึงข้อเท็จจริงดังกล่าว และต่อมาบริษัทได้ทราบถึงข้อเท็จจริงนั้นในภายหลังว่าบริษัทได้ประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมข้างต้น บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้โดยทันที เว้นแต่เป็นกรณีที่บริษัทสามารถประมวลผลข้อมูลส่วนบุคคลดังกล่าวได้โดยอาศัยฐานทางกฎหมายอื่นและไม่ต้องขอความยินยอม
13. การแก้ไขเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
บริษัทอาจมีการปรับปรุงแก้ไขเพิ่มเติมนโยบายความเป็นส่วนตัวได้ตามความเหมาะสมและสถานการณ์ที่เปลี่ยนแปลงไป โดยหากเป็นการเปลี่ยนแปลงในสาระสำคัญของนโยบายฉบับนี้ บริษัทจะแจ้งการปรับปรุงแก้ไขเพิ่มเติมนโยบายให้ท่านทราบ และขอให้ท่านตรวจสอบนโยบายฉบับนี้เป็นประจำ
14. ช่องทางการติดต่อ
หากท่านมีข้อสงสัยเกี่ยวกับเนื้อหาในนโยบายความเป็นส่วนตัวฉบับนี้ หรือต้องการข้อมูลเพิ่มเติมเกี่ยวกับแนวปฏิบัติของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือมีความประสงค์ต้องการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล กรุณาติดต่อผ่านช่องทางการติดต่อดังนี้
ติดต่อบริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
สถานที่ติดต่อ: บริษัท เอ็นอาร์ อินสแตนท์ โปรดิวซ์ จำกัด (มหาชน) 99/1 หมู่ 4 ตำบลแคราย อำเภอกระทุ่มแบน จังหวัดสมุทรสาคร 74110
อีเมล: DPO@nrinstant.com
หมายเลขโทรศัพท์: 034849576-80
15. กฎหมายที่ใช้บังคับ
ท่านตกลงและรับทราบว่านโยบายฉบับนี้อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาชี้ขาดข้อพิพาทใด ๆ ที่อาจเกิดขึ้นจากนโยบายฉบับนี้
นโยบายฉบับนี้ได้รับการอนุมัติจากคณะกรรมการบริษัท ในการประชุมครั้งที่ 9/2568 เมื่อวันที่ 15 พฤษภาคม 2568 ทั้งนี้ให้มีผลบังคับใช้ตั้งแต่วันที่ 16 พฤษภาคม 2568 เป็นต้นไป