นโยบายความเป็นส่วนตัว
1. หลักการและเหตุผล
ด้วยความก้าวหน้าของเทคโนโลยีสารสนเทศ รวมทั้งระบบสื่อสารได้พัฒนาไปอย่างรวดเร็ว ทำให้การเข้าถึง
การเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล สามารถทำได้โดยง่าย สะดวก และรวดเร็ว อันอาจนำมาซึ่งความเสียหายต่อเจ้าของข้อมูล ประกอบกับได้มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจาณุเบกษาเมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 แล้วนั้น
บริษัทได้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ซึ่งเป็นสิทธิขั้นพื้นฐานสำคัญในความเป็นส่วนตัว (Privacy Right) ที่ต้องได้รับความคุ้มครองตามรัฐธรรมนูญแห่งราชอาณาจักรไทย และหลักปฏิญญาสากลว่าด้วยสิทธิมนุษยชน (Universal Declaration of Human Rights) ซึ่งบุคคลใดจะถูกแทรกแซงตามอำเภอใจ ในความเป็นส่วนตัว ครอบครัว ที่อยู่อาศัย หรือการสื่อสาร หรือจะถูกลบหลู่เกียรติยศและชื่อเสียงไม่ได้ ทุกคนมีสิทธิที่จะได้รับความคุ้มครองตามกฎหมาย ต่อการแทรกแซงสิทธิหรือการลบหลู่ดังกล่าวนั้น รวมถึงเพื่อสนับสนุนและเคารพการปกป้องสิทธิมนุษยชนตามที่ประกาศใช้ในระดับสากล ตามหลักการของข้อตกลงโลกแห่งสหประชาชาติ (UN Global Compact) รวมถึงตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทจึงได้ประกาศนโยบายเพื่อเป็นหลักในการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ดังนี้
2. วัตถุประสงค์
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ จัดทำขึ้นโดยมีวัตถุประสงค์ ดังต่อไปนี้
2.1 เพื่อคุ้มครองข้อมูลส่วนของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นบุคคลธรรมดาซึ่งทำธุรกรรม ใช้บริการ มีส่วนได้ส่วนเสีย หรือที่มีส่วนเกี่ยวข้องกับบริษัท ได้แก่แต่ไม่จำกัดเพียงบุคคลดังต่อไปนี้
-
- ลูกค้า
- พนักงาน
- ผู้ถือหุ้น
- นักลงทุน เจ้าหนี้ ลูกหนี้
- คู่ค้า พันธมิตรทางธุรกิจ
- บุคคลที่บริษัทได้ว่าจ้างให้ดำเนินงานตามวัตถุประสงค์ของบริษัท เช่น ที่ปรึกษาด้านวิชาชีพ ผู้ให้บริการด้านระบบเทคโนโลยีสารสนเทศ เป็นต้น
- บุคคลที่เข้าชมเว็บไซต์หรือแอพพลิเคชั่นของบริษัท
- บุคคลที่เข้ามาติดต่อหรือใช้บริการสำนักงาน อาคารหรือสถานที่ของบริษัท
- ครอบครัวพนักงาน ผู้รับผลประโยชน์ตามกรมธรรม์ประกันชีวิต ประกันวินาศภัยที่บริษัทได้จัดทำให้
- บุคคลที่ถูกอ้างอิง เช่น บุคคลที่ถูกอ้างอิงในการสมัครงาน การเสนอขายสินค้าและบริการกับบริษัท เป็นต้น
2.2 เพื่อกำหนดบทบาทหน้าที่ ของหน่วยงาน ผู้บริหาร พนักงาน ซึ่งมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล
2.3 เพื่อกำหนดขั้นตอนหรือมาตรการรักษาความปลอดภัยในการคุ้มครองข้อมูลส่วนบุคคล
2.4 เพื่อกำหนดแนวทางในการปฏิบัติงานของพนักงานซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล
2.5 เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ต่อเจ้าของข้อมูลส่วนบุคคล
3. ขอบเขตการใช้
ให้ประกาศฉบับนี้ มีผลใช้บังคับกับคณะกรรมการ กรรมการ ผู้บริหาร และพนักงานทุกระดับของบริษัท ไทยเอเย่นซี เอ็นยีเนียริ่ง จำกัด และบริษัทย่อย รวมถึงคู่ค้า ผู้ให้บริการ และผู้มีส่วนได้ส่วนเสียกับบริษัท โดยใช้บังคับกับทุกกิจกรรมการดำเนินงานของบริษัทที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
4. คำนิยาม
- “บริษัท” หมายความว่า บริษัท ไทยเอเย่นซี เอ็นยีเนียริ่ง จำกัด และ บริษัทในเครือ
- “บริษัทในเครือ” หมายความว่า บริษัทจำกัด หรือบริษัทมหาชน จำกัด ซึ่งอยู่ภายใต้การควบคุมของบริษัท ไทยเอเย่นซี เอ็นยีเนียริ่ง จำกัด โดยมีลักษณะเป็นไปตามประกาศคณะกรรมการ
- “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซี่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
- “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายความว่า ข้อมูลส่วนบุคคลที่มีความเสี่ยงอาจถูกนำไปสู่การเลือกปฏิบัติอย่างไม่เป็นธรรม (Sensitive Data) ในที่นี้หมายถึง เชื้อชาติ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรืออื่น ๆ ตามที่กฎหมายกำหนด
- “เจ้าของข้อมูลส่วนบุคคล” หมายความว่า บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล เป็นต้นว่า ลูกค้า คู่ค้า ผู้ใช้บริการ และพนักงาน
- “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับ การเก็บรวบรวม ใช้หรือ เปิดเผยข้อมูลส่วนบุคคล ในที่นี้หมายถึง บริษัท หน่วยงาน พนักงานที่รับผิดชอบในข้อมูลส่วนบุคคลนั้น
- “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ในที่นี้หมายถึง คู่ค้า บุคคลหรือบริษัทภายนอกที่บริษัทได้ว่าจ้าง
- “บุคคล” หมายความว่า บุคคลธรรมดา
- “บุคคลผู้หย่อนความสามารถ” หมายความว่า บุคคลซึ่งเป็นผู้เยาว์ เป็นคนไร้ความสามารถ หรือเสมือนไร้ความสามารถตามประมวลกฎหมายแพ่งและพาณิชย์
- “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายความว่า บุคคลซึ่งบริษัทแต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลซึ่งถูกกำหนดหรือได้รับมอบหมายตามนโยบายฉบับนี้
5. การคุ้มครองข้อมูลส่วนบุคคล
5.1 การเก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทำได้ภายใต้วัตถุประสงค์และเท่าที่จำเป็นตามกรอบวัตถุประสงค์หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวม ถึงรายละเอียดดังต่อไปนี้
1) วัตถุประสงค์ของการเก็บรวบรวม
2) ระยะเวลาในการเก็บรวบรวมไว้
3) ประเภทของบุคคลหรือหน่วยงานซึ่งอาจมีการเปิดเผยข้อมูลส่วนบุคคล
4) ข้อมูลหรือช่องทางการติดต่อกับบริษัท
5) สิทธิของเจ้าของข้อมูลส่วนบุคคล
6) แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด หรือเพื่อเข้าทำหรือปฏิบัติตามสัญญา
ทั้งนี้ เว้นแต่ในกรณีดังต่อไปนี้ ไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ก) เพื่อประโยชน์สาธารณะ การศึกษาวิจัย การสถิติ หรือการปฏิบัติตามกฎหมาย
ข) เป็นการดำเนินการเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล
ค) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
ง) เป็นการจำเป็นตามหน้าที่ในการดำเนินการเพื่อประโยชน์สาธารณะหรือในการปฏิบัติหน้าที่ตามที่ได้รับมอบหมายจากภาครัฐ หรือเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งประโยชน์โดยชอบด้วยกฎหมายนั้นมีความสำคัญมากกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
5.2 การเก็บรวบรวมข้อมูลส่วนบุคคลของผู้หย่อนความความสามารถ
การเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ เพื่อดำเนินการตามวัตถุประสงค์ใด ๆ ซึ่งผู้เยาว์ไม่อาจดำเนินการเองได้โดยลำพังตามที่ประมวลกฎหมายแพ่งและพาณิชย์กำหนดไว้ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองหรือผู้ทำการแทนผู้เยาว์ด้วย เว้นแต่กรณีผู้เยาว์อายุไม่เกิน 10 ปี ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองหรือผู้การแทนผู้เยาว์เท่านั้น
การเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลเป็นบุคคลไร้ความสามารถหรือเสมือนไร้ความสามารถต้องได้รับความยินยอมจากผู้อนุบาลหรือจากผู้พิทักษ์ หรือบุคคลผู้ทำการแทนเท่านั้น
5.3 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)
บริษัทจะไม่เก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เว้นแต่มีความจำเป็นต้องเก็บรวบรวมโดยต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ยกเว้นในกรณีที่กฎหมายกำหนดให้สามารถเก็บรวบรวมได้โดยไม่ต้องขอความยินยอม
5.4 การใช้และ/หรือการเปิดเผยข้อมูลส่วนบุคคล
การใช้และ/หรือการเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะทำการเก็บรวบรวม หรือเป็นการจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายกำหนดให้ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมายบุคคลหรือนิติบุคคลอื่น ซึ่งได้รับข้อมูลส่วนบุคคลจากการที่เจ้าของข้อมูลส่วนบุคคลตกลงยินยอมให้เปิดเผย หรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ซึ่งเจ้าของข้อมูลส่วนบุคคลได้ตกลงยินยอมให้ไว้กับบริษัทและตามที่บุคคลหรือนิติบุคคลนั้นได้แจ้งไว้กับบริษัทเท่านั้น
6. คุณภาพของข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น ต้องถูกต้องเป็นปัจจุบัน สมบูรณ์ ไม่ก่อให้เกิดความเข้าใจผิด และต้อง
ดำเนินการจัดให้มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลสามารถร้องขอหรือแก้ไขข้อมูลส่วนบุคคลของตัวเองได้
7. บทบาทหน้าที่และความรับผิดชอบ
บริษัทกำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องให้ความสำคัญและรับผิดชอบใน
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอย่างเคร่งครัด โดยกำหนดให้บุคคลหรือหน่วยงานดังต่อไปนี้ ทำหน้าที่กำกับและตรวจสอบให้การดำเนินงานของบริษัทนั้นถูกต้องและเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
7.1 ผู้ควบคุมข้อมูลส่วนบุคคล
7.1.1 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม และทบทวนมาตรการอย่างสม่ำเสมอเพื่อให้มาตรการดังกล่าวมีประสิทธิภาพ ทันต่อเทคโนโลยีที่เปลี่ยนแปลงไป
7.1.2 กำหนดขอบเขตการจัดการกับข้อมูลส่วนบุคคลที่ได้เปิดเผยต่อบุคคลหรือนิติบุคคลอื่น
7.1.3 จัดให้มีระบบตรวจสอบการจัดการกับข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด
7.1.4 บันทึกรายการเกี่ยวกับข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
7.1.5 จัดทำข้อตกลงกับผู้ประมวลผลข้อมูลส่วนบุคคล นิติบุคคลหรือบุคคลภายนอกอื่นใด หากมีการเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคลที่ได้ว่าจ้าง นิติบุคคลหรือบุคคลภายนอกอื่นใด โดยผู้ประมวลผลข้อมูล นิติบุคคล หรือบุคคลภายนอกดังกล่าว ต้องมีมาตรการรักษาความปลอดภัยในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลต้องเป็นไปตามนโยบายฉบับนี้ และตามพระราชบัญญัติคุมครองข้อมูลส่วนบุคคล พ.ศ. 2562
7.2 ผู้ประมวลผลข้อมูลส่วนบุคคล
7.2.1 ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ และหรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล
7.2.2 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม
7.2.3 จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้
7.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)
7.3.1 จัดทำและทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล รวมถึงแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ครบถ้วนและถูกต้องตามที่กฎหมายกำหนด
7.3.2 ให้คำแนะนำในด้านต่าง ๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่ผู้บริหาร พนักงาน และคู่ค้าของบริษัท
7.3.3 ตรวจตราการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล
7.3.4 กำกับดูแลหน่วยงานต่าง ๆ ของบริษัท บริษัทในเครือ และคู่ค้าของบริษัทให้ดำเนินงานตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
7.3.5 รายงานการปฏิบัติหน่วยงานต่าง ๆ ของบริษัท บริษัทในเครือ และคู่ค้าของบริษัทต่อคณะเจ้าหน้าที่บริหาร
7.3.6 ประสานจัดการเรื่องร้องเรียนหรือการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลที่ได้รับการติดต่อหรือร้องขอจากเจ้าของข้อมูลส่วนบุคคล
7.3.7 ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท บริษัทในเครือ และคู่ค้าของบริษัท
7.3.8 แจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถทำได้
7.4 สำนักกฎหมาย กลุ่มธุรกิจฯ
7.4.1 ให้คำปรึกษา แนะนำ และให้ความเห็นเกี่ยวกับการดำเนินงานให้ถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
7.4.2 ตรวจสอบจัดทำเอกสาร สัญญาที่เกี่ยวข้องให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
7.5 หน่วยงาน Risk Management
7.5.1 ค้นหาและระบุความเสี่ยงในกิจกรรมหรือการดำเนินงานของหน่วยงานต่าง ๆ ของบริษัทที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล
7.5.2 ประเมินความเสี่ยงโดยการกำหนดระดับความเสี่ยงของแต่ละกิจกรรมหรือการดำเนินงาน และระบุความเสี่ยงคงเหลือที่ยอมรับได้ (Risk Appetite)
7.5.3 ติดตามให้แต่ละหน่วยงานดำเนินงานให้อยู่ในความเสี่ยงคงเหลือที่ยอมรับได้
7.5.4 ทบทวนระดับความเสี่ยงของกิจกรรมหรือการดำเนินงานของแต่ละหน่วยงานทุกไตรมาส
7.5.5 จัดทำรายงานและมีการรายงานความเสี่ยงต่อคณะเจ้าหน้าที่บริหาร
7.6 หน่วยงานตรวจสอบภายใน / ผู้ตรวจสอบภายนอก
7.6.1 ตรวจสอบการทำงานของผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
7.6.2 หน่วยงานตรวจสอบภายในสอบทานเอกสาร กระบวนการ และประเมินประสิทธิภาพในการรักษาความมั่นคงปลอดภัยของระบบที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
7.6.3 จัดให้มีการสอบทานเอกสาร กระบวนการ และประเมินประสิทธิภาพในการรักษาความมั่นคงปลอดภัยของระบบที่เกี่ยวข้องกับข้อมูลส่วนบุคคลโดยผู้ตรวจสอบภายนอกเป็นประจำทุกปี
7.6.4 รายงานผลการตรวจสอบต่อคณะกรรมการตรวจสอบของบริษัท
7.7 บริษัทในเครือ หน่วยงานระดับสำนักหรือเทียบเท่า
7.7.1 ให้ผู้บริหารสูงสุดของบริษัทในเครือ หรือผู้บริหารสูงสุดของสำนักในระดับสำนักหรือเทียบเท่า มีหน้าที่ สั่งการ ควบคุม กำกับดูแลให้พนักงานภายในสังกัดของตนปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และนโยบายฉบับนี้โดยเคร่งครัด โดยให้มีหน้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Protection Coordinator: DPC) รวมถึงแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล ซึ่งเกิดขึ้นในบริษัทหรือหน่วยงานของตนต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
7.7.2 บริษัทในเครือ หน่วยงานระดับสายงาน ระดับสำนักหรือเทียบเท่า สามารถออกข้อกำหนดหรือระเบียบปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อใช้บังคับภายในหน่วยงานของตนได้ ทั้งนี้ ข้อกำหนดหรือระเบียบปฏิบัติดังกล่าวนั้น ต้องเป็นไปตามนโยบายฉบับนี้ และตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และต้องแจ้งให้กับสำนักกฎหมาย กลุ่มธุรกิจฯ ทราบ
8. การรักษาความมั่นคงปลอดภัย
เพื่อประโยชน์ในการรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคล บริษัทได้มีมาตรการ ดังนี้
8.1 กำหนดสิทธิในการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล รวมถึงการแสดงหรือยืนยันตัวบุคคล ผู้เข้าถึงหรือใช้ข้อมูลส่วนบุคคล จัดให้มีมาตรการรักษาความปลอดภัย รวมถึงกระบวนการทบทวนและประเมินประสิทธิภาพของมาตรการรักษาความปลอดภัยดังกล่าว ทั้งนี้ เป็นไปตามนโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ (Information Technology Security Policy) ของบริษัทอย่างเคร่งครัด
8.2 ในการส่ง การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บบนฐานข้อมูลในระบบอื่นใด ซึ่งผู้ให้บริการรับโอนข้อมูลหรือบริการเก็บรักษาข้อมูลอยู่ต่างประเทศ ประเทศปลายทางที่เก็บรักษาข้อมูลต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่าหรือดีกว่ามาตรการตามนโยบายนี้
8.3 ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความมั่นคงปลอดภัยของบริษัท จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคล บริษัทจะดำเนินการตามนโยบายการละเมิดและข้อมูลรั่วไหล (Data Breach Handling Policy) และตามที่กฎหมายกำหนด หากการละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งเหตุการละเมิดพร้อมทั้งแนวทางการเยียวยาให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า ทั้งนี้ บริษัทจะไม่รับผิดชอบในกรณีความเสียหายใด ๆ อันเกิดจากการที่เจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่นใดซึ่งได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล จงใจหรือประมาทเลินเล่อ หรือเพิกเฉยต่อมาตรการรักษาความปลอดภัย จนเป็นเหตุให้ข้อมูลส่วนบุคคลถูกใช้หรือเปิดเผยต่อบุคคลที่สามหรือบุคคลอื่นใด
9. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอเข้าถึงข้อมูลส่วนบุคคลของตน ขอรับสำเนา ขอถอนความยินยอม คัดค้านการเก็บ การใช้ การเปิดเผย ขอให้ลบทำลายหรือพักการใช้ ขอแก้ไขข้อมูลให้เป็นปัจจุบัน ร้องเรียน หรือขอให้โอนข้อมูลส่วนบุคคลของตนไปยังผู้ควบคุมข้อมูลอื่น เว้นแต่เป็นการกระทบต่อสิทธิเสรีภาพของบุคคลอื่น เป็นการปฏิบัติหน้าที่เพื่อสาธารณะประโยชน์หรือตามกฎหมาย หรือเพื่อการศึกษาวิจัย ทั้งนี้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
10. การร้องเรียน การแจ้งเบาะแส
กรณีพบเหตุอันควรสงสัยหรือเชื่อว่ามีการละเมิดการเก็บรวบรวม ใช้ และ/หรือการเปิดเผยข้อมูลส่วนบุคคล หรือเจ้าของข้อมูลส่วนบุคคลประสงค์ที่จะร้องเรียนหรือใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ หรือตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทตามข้อมูลติดต่อด้านล่างนี้
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
บริษัท ไทยเอเย่นซี เอ็นยีเนียริ่ง จำกัด
เลขที่ 9 อาคารวรสิน ชั้น 2-3 ถนนวิภาวดีรังสิต แขวงจอมพล เขตจตุจักร กรุงเทพมหานคร 10900
Email Address: webmaster@taecgroup.com
เบอร์โทรศัพท์: 02-6915900 ต่อ 131
11. การฝึกอบรม
บริษัทจัดให้มีการฝึกอบรมและประเมินผลเกี่ยวกับการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ให้กับผู้บริหารและพนักงานทุกระดับ ในการนี้ ผู้ประสานงานข้อมูลส่วนบุคคล (Data Protection Coordinator: DPC) ต้องเข้าร่วมฝึกอบรมและกำหนดให้พนักงานในสังกัดของตนซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคลต้องเข้าร่วมฝึกอบรมอย่างเคร่งครัด
12. การทบทวนนโยบาย
บริษัทจะทำการทบทวนนโยบายนี้อย่างน้อยปีละ 1 ครั้ง หรือกรณีที่กฎหมายมีการเปลี่ยนแปลงแก้ไข
13. การฝ่าฝืน
บริษัทจะไม่ยอมประนีประนอมในเรื่องการคุ้มครองข้อมูลส่วนบุคคล หากผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูล หรือผู้มีหน้าที่รับผิดชอบในการดำเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของตน ที่เกี่ยวข้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคล ละเลยหรือละเว้นไม่สั่งการ หรือไม่ดำเนินการ หรือสั่งการ หรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตน จนทำให้เกิดการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลโดยผิดวัตถุประสงค์ การละเมิดต่อเจ้าของข้อมูลส่วนบุคคล อันเป็นการฝ่าฝืนนโยบายและแนวปฏิบัติเกี่ยวกับเรื่องข้อมูลส่วนบุคคล และ/หรือตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด พนักงานผู้นั้นต้องรับโทษทางวินัยตามระเบียบของบริษัท และหากการกระทำผิดดังกล่าวของพนักงานและ/หรือบุคคลใดก่อให้เกิดความเสียหายแก่บริษัทและ/หรือบุคคลอื่นใด บริษัทอาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป