lixil banner
มุ่งเน้นที่จะเนรมิตบ้านที่ดีกว่าเดิมให้แก่ทุกคน ไม่ว่าจะอยู่ที่ใดในโลก

ลิกซิล ประเทศไทย

นโยบายการคุ้มครองข้อมูลส่วนบุคคล
สารบัญ หน้า
(1) วัตถุประสงค์และขอบเขตของนโยบายการคุ้มครองข้อมูลส่วนบุคคล 1
(2) นิยามสำคัญ 2
(3) การเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย 3
(4) ประกาศความเป็นส่วนตัวสำหรับเจ้าของข้อมูลส่วนบุคคล 4
(5) แหล่งที่มาของข้อมูลส่วนบุคคล 5
(6) สิทธิของเจ้าของข้อมูลส่วนบุคคล 6
(7) หน้าที่และความรับผิดชอบของบุคลากร 7
(8) มาตรการการคุ้มครองข้อมูลส่วนบุคคล 8
(9) การบันทึก การใช้และเปิดเผยข้อมูลส่วนบุคคล 9
(10) การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์กรระหว่างประเทศ 10
(11) การละเมิดข้อมูลส่วนบุคคล 11
(12) การละเมิดข้อมูลส่วนบุคคล 12
(13) การสอบถามข้อมูลเพิ่มเติม และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล 13
(1) วัตถุประสงค์และขอบเขตของนโยบายการคุ้มครองข้อมูลส่วนบุคคล

เพื่อเป็นการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่น ๆ ที่เกี่ยวข้อง รวมถึงกฎหมายฉบับแก้ไขเพิ่มเติม ใด ๆ ในอนาคต (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) ลิกซิล ประเทศไทย ซึ่งประกอบด้วย บริษัท ลิกซิล (ประเทศไทย) จำกัด (มหาชน) และ บริษัท โกรเฮ่ (ประเทศไทย) จำกัด จึงจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ (“นโยบาย”) ขึ้นเพื่ออธิบายรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลแก่บุคลากรและพนักงานของบริษัท หรือบุคลากรและพนักงานของบุคคลภายนอกที่เป็นผู้กระทำการแทนหรือในนามของบริษัท ในการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลซึ่งมีความเกี่ยวข้องกับการดำเนินธุรกิจของบริษัทให้เป็นไปโดยถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

(2) นิยามสำคัญ

“บริษัท” หมายถึง หมายถึง บริษัท ลิกซิล (ประเทศไทย) จำกัด (มหาชน) หรือ บริษัท โกรเฮ่ (ประเทศไทย) จำกัด ซึ่งกระทำการใด ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์ที่ระบุในประกาศความเป็นส่วนตัวสำหรับเจ้าของข้อมูลส่วนบุคคลแต่ละประเภท

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งอาจก่อให้เกิดการเลือกปฏิบัติโดยไม่เป็นธรรมต่อเจ้าของข้อมูลส่วนบุคคลหรือกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล ได้แก่ ลูกค้า ผู้จัดจำหน่าย ตัวแทนจำหน่าย ผู้บริโภค คู่ค้า ผู้ให้บริการ กรรมการ พนักงาน ลูกจ้าง ผู้มาติดต่อ และบุคคลธรรมดาอื่นใดที่บริษัทมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลธรรมดานั้น

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

“ฐานทางกฎหมาย” หมายถึง เหตุที่กฎหมายรองรับให้สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้ ทั้งนี้ ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล

(3) การเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย

ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยบริษัท บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะต้องกระทำภายใต้ฐานทางกฎหมายที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งได้ถูกกำหนดเป็นแนวทางไว้ในนโยบายฉบับนี้ด้วย ดังนี้

  1. กรณีข้อมูลส่วนบุคคลทั่วไป การเก็บข้อมูลส่วนบุคคลนั้นจะทำได้ต่อเมื่อเข้าเงื่อนไขของฐานทางกฎหมายประการใดประการหนึ่งใน 7 ประการ ได้แก่
    1. ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (ฐานความยินยอม)

      ในกรณีที่ไม่สามารถเก็บรวบรวมข้อมูลด้วยฐานทางกฎหมายอื่นตามที่ระบุในข้อ 1.2 – 1.7 ของนโยบายนี้ได้ บริษัทจำเป็นต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล การไม่ตอบรับหรือการนิ่งเฉยไม่ถือว่าเป็นความยินยอมจากเจ้าของข้อมูลส่วนบุคคล นอกจากนี้ ความยินยอมต้องทำเป็นลายลักษณ์อักษร หรือผ่านระบบอิเล็กทรอนิกส์ ซึ่งอาจมีรูปแบบตามที่บริษัทจัดทำขึ้น (เช่น หนังสือขอความยินยอม) เว้นแต่การขอความยินยอมด้วยวิธีดังกล่าวไม่สามารถกระทำได้ เจ้าของข้อมูลอาจให้ความยินยอมด้วยวาจา ในกรณีดังกล่าวบริษัทจะต้องบันทึกความยินยอมดังกล่าวไว้เป็นลายลักษณ์อักษรพร้อมระบุรายละเอียดของวิธีการให้ความยินยอมและวันที่ให้ความยินยอมนั้น โดยที่บริษัทจะต้องเก็บบันทึกดังกล่าวในที่ปลอดภัยและเข้าถึงได้ง่าย ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลอาจถอนความยินยอมได้ทุกเมื่อ เว้นแต่จะมีกฎหมายหรือสัญญาที่เป็นคุณแก่เจ้าของข้อมูลส่วนบุคคลจำกัดสิทธิไว้

      บริษัทพึงต้องตระหนักอยู่เสมอว่าบริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้ต่อเมื่อเจ้าของข้อมูลส่วนบุคคลสามารถให้ความยินยอมโดยอิสระและโดยความสมัครใจโดยแท้เท่านั้น

      หมายเหตุ กรณีที่บริษัทจะต้องขอความยินยอมจากผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ บุคคลไร้ความสามารถ หรือบุคคลเสมือนไร้ความสามารถ บริษัทจะต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ผู้อนุบาล หรือผู้พิทักษ์ตามลำดับ เว้นแต่ในกรณีที่ผู้เยาว์นั้นมีอายุ 10 ปีขึ้นไป ผู้เยาว์คนดังกล่าวอาจให้ความยินยอมเองได้สำหรับกรณีที่เป็นการดำเนินการที่ผู้เยาว์กระทำได้โดยลำพังตามกฎหมาย

    2. เพื่อการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การทำวิจัยหรือสถิติ (ฐานจดหมายเหตุ/วิจัย/สถิติ)

      บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด อย่างไรก็ดี บริษัทอาจไม่เก็บรวบรวมข้อมูลส่วนบุคคลเพียงเพื่อประโยชน์ในการวิจัยหรือวัตถุประสงค์ทางสถิติ โดยการเก็บรวบรวมดังกล่าวจะต้องเป็นไปตามฐานทางกฎหมายอื่น ๆ ที่ระบุในส่วนนี้ด้วย (เช่น ฐานประโยชน์โดยชอบด้วยกฎหมาย)

    3. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (ฐานประโยชน์สำคัญต่อชีวิต)

      ในบางกรณี บริษัทอาจมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคลใด ๆ (และซึ่งไม่จำกัดเพียงอันตรายต่อเจ้าของข้อมูลส่วนบุคคลเท่านั้น) เช่น กรณีบริษัทมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลเนื่องจากอุบัติเหตุฉุกเฉินที่เกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล บริษัทไม่ต้องขอความยินยอม เพื่อเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล

    4. เพื่อปฏิบัติตามสัญญาระหว่างบริษัทกับเจ้าของข้อมูลส่วนบุคคลหรือเพื่อใช้ดำเนินการตามคำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญากับบริษัท (ฐานสัญญา)

      ในกรณีที่บริษัทมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาโดยตรงกับบริษัท หรือเพื่อให้บริษัทดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญากับบริษัทนั้น บริษัทไม่ต้องขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว

    5. เพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ (ฐานประโยชน์สาธารณะ)

      ในกรณีที่บริษัทจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล บริษัทไม่ต้องขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว

    6. เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย (ฐานประโยชน์โดยชอบด้วยกฎหมาย)

      บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ในกรณีที่บริษัทจำเป็นต้องเก็บข้อมูลดังกล่าวเพื่อใช้ดำเนินการเกี่ยวกับประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือบุคคลที่สามซึ่งไม่ใช่เจ้าของข้อมูลส่วนบุคคล ได้แก่ ประโยชน์โดยชอบด้วยกฎหมายในการดำเนินธุรกิจของบริษัทและ/หรือบุคคลที่สาม ประโยชน์โดยชอบด้วยกฎหมายในการรักษาความปลอดภัยและปกป้องทรัพย์สินและบุคคลที่อยู่ภายในบริเวณของบริษัท ประโยชน์โดยชอบด้วยกฎหมายในการบริหารจัดการองค์กรของบริษัท เป็นต้น อย่างไรก็ดี บริษัทจะต้องระมัดระวังในการใช้ฐานทางกฎหมายนี้ในการเก็บรวบรวมข้อมูลส่วนบุคคล และหากกรณีพบว่าประโยชน์โดยชอบด้วยกฎหมายดังกล่าวมีความสำคัญน้อยกว่าสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล ซึ่งรวมถึงแต่ไม่จำกัดเพียง สิทธิในการกำหนดเจตจำนงตนเอง สิทธิในความเป็นอิสระ สิทธิในการโยกย้ายถิ่นฐาน สิทธิในความเป็นส่วนตัว สิทธิเสรีภาพทางความคิด สิทธิเสรีภาพทางศาสนา สิทธิเสรีภาพในการแสดงออก สิทธิในการชุมนุมโดยสงบ สิทธิเสรีภาพในการรวมกลุ่ม หรือเป็นกรณีที่อาจกระทบสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลเป็นอย่างมาก

      บริษัทจะไม่เก็บรวบรวมข้อมูลส่วนบุคคลโดยอาศัยฐานประโยชน์โดยชอบด้วยกฎหมาย แต่บริษัทควรจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหากบริษัทยังคงประสงค์จะเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวต่อไป

      (1) บริษัทหรือบุคคลที่สามมีผลประโยชน์ที่ชอบด้วยกฎหมาย ในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวหรือไม่

      (2) การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวมีความจำเป็นต่อผลประโยชน์ตามข้อ (1) หรือไม่

      (3) เจ้าของข้อมูลส่วนบุคคลพึงคาดหมายได้ว่าบริษัทอาจมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวหรือไม่

      (4) การเก็บรวบรวมข้อมูลดังกล่าวมีความสำคัญไม่น้อยกว่าสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล หรือไม่ใช่เป็นกรณีที่อาจกระทบสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลเป็นอย่างมากหรือไม่

      (5) บริษัทมีมาตรการปกป้องดูแลข้อมูลส่วนบุคคลที่เหมาะสมในการจัดเก็บข้อมูลส่วนบุคคลนั้นแล้วหรือไม่

    7. เพื่อปฏิบัติตามกฎหมายที่บังคับใช้กับบริษัท (ฐานหน้าที่ตามกฎหมาย)

      ในกรณีที่มีกฎหมายกำหนดให้บริษัทเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้อาจรวมถึงการดำเนินการกับข้อมูลส่วนบุคคลตามคำสั่งศาลหรือเจ้าหน้าที่ของรัฐ ตัวอย่างเช่น การเก็บข้อมูลส่วนบุคคลของลูกจ้างไว้เพื่อการปฏิบัติตามกฎหมายการคุ้มครองแรงงาน การเก็บเอกสารทางบัญชีไว้เป็นระยะเวลาตามที่กฎหมายกำหนด เป็นต้น

  2. กรณีข้อมูลส่วนบุคคลที่มีความอ่อนไหว , บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวได้ก็ต่อเมื่อได้รับความยินยอมโดยชัดแจ้ง จากเจ้าของข้อมูลส่วนบุคคล (โปรดดูหลักเกณฑ์และวิธีการในข้อ 1.1) เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย ดังนี้:
    1. ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าจะด้วยเหตุใดก็ตาม เช่นเป็นการใช้ในกรณีฉุกเฉิน
    2. เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคค
    3. เป็นการจำเป็นเพื่อปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ:
      1. เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง
      2. ประโยชน์ด้านสาธารณสุข
      3. การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลตามสิทธิของผู้มีสิทธิตามกฎหมาย ซึ่งการเก็บรวบรวมมีความจำเป็นต่อการปฏิบัติตามสิทธิหรือหน้าที่ของบริษัทหรือของเจ้าของข้อมูลส่วนบุคคล
      4. การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น
      5. ประโยชน์สาธารณะอื่นที่สำคัญ เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์ในการป้องกันโรคติดต่อหรือโรคระบาด การเก็บรวบรวมและเปิดเผยต่อหน่วยงานรัฐซึ่งข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์ในการป้องกันและปราบปรามการฟอกเงิน

      หมายเหตุ แนวทางการพิจารณาและการตีความคำว่า “ประโยชน์สาธารณะ” อาจมีการเปลี่ยนแปลงตามแนวทางการพิจารณาและการให้ความหมายของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือตามที่ระบุในกฎหมายลำดับรองซึ่งอาจมีการประกาศใช้บังคับเป็นการเพิ่มเติมในอนาคต

  3. แนวปฏิบัติในการเก็บรวบรวมข้อมูลส่วนบุคคล

    ข้อมูลส่วนบุคคลจะต้องถูกเก็บรวบรวมไว้เท่าที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่บริษัทกำหนดไว้เท่านั้น บริษัทจะต้องเก็บรวบรวมข้อมูลเท่าที่จำเป็นที่จะต้องใช้และทิ้งหรือทำลายข้อมูลที่อาจได้มาโดยไม่จำเป็นโดยเฉพาะอย่างยิ่งข้อมูลส่วนบุคคลที่มีความอ่อนไหว ทั้งนี้เพื่อลดความเสี่ยงในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายของบริษัท

    ในกรณีที่บริษัทได้รับข้อมูลส่วนบุคคลมากเกินความจำเป็น บริษัทต้องหาวิธีการทำให้บริษัทสามารถเก็บข้อมูลส่วนบุคคลได้เท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ของการเก็บรวบรวมนั้น เช่น ในกรณีที่บริษัทใช้ข้อมูลส่วนบุคคลเพื่อระบุตัวตนของคู่ค้าหรือตัวแทนของคู่ค้าของบริษัทจากสำเนาบัตรประชาชน ซึ่งบริษัทจำเป็นต้องใช้เพียงข้อมูลส่วนบุคคลทั่วไปในการระบุตัวตนของบุคคลดังกล่าว (เช่น ชื่อและรูปภาพ) บริษัทจึงควรหาวิธีการป้องกันมิให้ข้อมูลส่วนบุคคลที่ไม่จำเป็น/ข้อมูลส่วนบุคคลที่มีความอ่อนไหวที่ปรากฏบนบัตรประชาชนอยู่ด้วย (เช่น ศาสนา หมู่โลหิต) ถูกเก็บรวบรวมและรักษาไว้ในการครอบครองของบริษัท ในการนี้ อาจทำได้โดยการขีดฆ่าข้อมูลที่ไม่จำเป็นในสำเนาบัตรประชาชนที่ตนได้รับมา เหลือเพียงข้อมูลที่จำเป็นสำหรับการระบุตัวตนเท่านั้น เป็นต้น/p>

(4) ประกาศความเป็นส่วนตัวสำหรับเจ้าของข้อมูลส่วนบุคคล

เมื่อจะมีการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทจะจัดทำและแจ้งประกาศความเป็นส่วนตัว (Privacy Notice) ต่อเจ้าของข้อมูลส่วนบุคคลประเภทต่าง ๆ ประกาศความเป็นส่วนตัวดังกล่าวจะใช้เพื่อชี้แจงรายละเอียดของการประมวลผลข้อมูล คำจำกัดความ ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวม วัตถุประสงค์ของการเก็บรวบรวม ฐานทางกฎหมายของการเก็บรวบรวม ระยะเวลาในการเก็บรวบรวมหรือระยะเวลาที่คาดหมาย ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลอาจถูกเปิดเผยต่อบุคคลหรือหน่วยงานนั้น ๆ ข้อมูลรายละเอียดการติดต่อเกี่ยวกับบริษัท สิทธิของเจ้าของข้อมูลส่วนบุคคล และรายละเอียดอื่น ๆ ที่เกี่ยวข้อง เพื่อให้เจ้าของข้อมูลส่วนบุคคลทราบ เข้าใจ และประกอบการพิจารณาให้ความยินยอมในกรณีที่การเก็บรวบรวมนั้นไม่อยู่ในฐานทางกฎหมายที่สามารถเก็บรวบรวมโดยปราศจากความยินยอมได้

บริษัทจะต้องแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวให้กับเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล ซึ่งอาจกระทำได้โดยการส่งมอบประกาศความเป็นส่วนตัวในรูปแบบเอกสารแก่เจ้าของข้อมูลส่วนบุคคล หรือนำประกาศความเป็นส่วนตัวดังกล่าว ประกาศลงบนเว็บไซต์ของบริษัท และแจ้งให้เจ้าของข้อมูลทราบถึงลิงค์ที่เกี่ยวข้องในการเข้าถึง กรณีการเก็บรวบรวมข้อมูลส่วนบุคคลที่บริษัทได้เก็บรวบรวม ใช้ หรือเปิดเผยก่อนมีนโยบายนี้และบริษัทยังมีความจำเป็นต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าวอยู่ต่อไป บริษัทจะต้องดำเนินการแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวให้เจ้าของข้อมูลส่วนบุคคลทราบโดยเร็วที่สุด โดยบริษัทอาจแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงลิงค์ที่เกี่ยวข้องในการเข้าถึงประกาศความเป็นส่วนตัวดังกล่าว

การแจ้งหรือการส่งมอบประกาศความเป็นส่วนตัวอาจไม่จำเป็นต้องกระทำซ้ำในกรณีที่บริษัทได้เคยแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวให้กับเจ้าของข้อมูลส่วนบุคคลดังกล่าวแล้ว แต่ในกรณีที่บริษัทมีการแก้ไขในสาระสำคัญของประกาศความเป็นส่วนตัวในภายหลัง บริษัทจะต้องแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวที่แก้ไขให้กับเจ้าของข้อมูลใหม่ ซึ่งอาจกระทำได้โดยการส่งมอบประกาศความเป็นส่วนตัวในรูปแบบเอกสารแก่เจ้าของข้อมูลส่วนบุคคล หรือนำประกาศความเป็นส่วนตัวดังกล่าวประกาศลงบนเว็บไซต์ของบริษัท และแจ้งให้เจ้าของข้อมูลทราบถึงลิงค์ที่เกี่ยวข้องในการเข้าถึง

(5) แหล่งที่มาของข้อมูลส่วนบุคคล

โดยทั่วไปบริษัทจะต้องเก็บรวบรวมข้อมูลส่วนบุคคลจากตัวเจ้าของข้อมูลส่วนบุคคลเองโดยตรง อย่างไรก็ตามหากบริษัทเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง บริษัทจะดำเนินการแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นและแจ้งประกาศความเป็นส่วนตัวให้เจ้าของข้อมูลส่วนบุคคลทราบ และขอความยินยอม (ในกรณีที่จำเป็นต้องขอความยินยอม) โดยไม่ชักช้าภายใน 30 วันนับแต่วันที่บริษัทได้เก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว ในกรณีที่การแจ้งประกาศความเป็นส่วนตัวและการขอความยินยอมนั้นได้กระทำผ่านบุคคลที่สามซึ่งดำเนินการแจ้งประกาศความเป็นส่วนตัวและขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในนามของบริษัทแล้ว บริษัทไม่จำเป็นต้องแจ้งประกาศความเป็นส่วนตัว และขอความยินยอม (ในกรณีที่จำเป็นต้องขอความยินยอม) จากเจ้าของข้อมูลส่วนบุคคลอีกครั้งหนึ่ง

ทั้งนี้ เว้นแต่ในกรณีที่บริษัทจะต้องนำข้อมูลส่วนบุคคลนั้นไปใช้ในการติดต่อกับเจ้าของข้อมูลส่วนบุคคล บริษัทจะแจ้งเจ้าของข้อมูลให้ทราบเมื่อทำการติดต่อครั้งแรก และในกรณีที่บริษัทนำข้อมูลส่วนบุคคลไปเปิดเผย บริษัทจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนการนำข้อมูลส่วนบุคคลไปเปิดเผยเป็นครั้งแรก

อย่างไรก็ตาม บริษัทอาจไม่ต้องแจ้งเจ้าของข้อมูลส่วนบุคคลถึงการเก็บข้อมูลและประกาศความเป็นส่วนตัวดังกล่าว หากบริษัทสามารถพิสูจน์ได้ว่าการแจ้งข้อมูลดังกล่าวไม่สามารถทำได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท หรือเจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดต่าง ๆ นั้นอยู่แล้ว เช่น เจ้าของข้อมูลส่วนบุคคลเคยได้รับประกาศความเป็นส่วนตัวสำหรับการทำธุรกรรมบางประการกับบริษัทแล้ว และประสงค์จะทำธุรกรรมเช่นเดิมกับบริษัทอีกคราว

นอกจากนี้หากในการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทได้ทำการว่าจ้างผู้ประมวลผลข้อมูลส่วนบุคคลในการกระทำการแทนตามคำสั่งของบริษัท บริษัทอาจให้ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้กระทำการแจ้งประกาศความเป็นส่วนตัวแทนบริษัทได้ ซึ่งบริษัทจะต้องดำเนินการให้ผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติตามให้สอดคล้องและเป็นไปตามนโยบายนี้เฉกเช่นเดียวกัน

(6) สิทธิของเจ้าของข้อมูลส่วนบุคคล

เมื่อบริษัทได้รับคำร้องขอจากเจ้าของข้อมูลส่วนบุคคล บริษัทจะต้องตอบสนองต่อคำร้องขอดังกล่าวโดยไม่ชักช้า และภายในระยะเวลาไม่เกินกว่า 30 วัน นับจากวันที่ได้รับคำขอ

เมื่อบริษัทได้รับคำร้องขอจากเจ้าของข้อมูลส่วนบุคคล บริษัทจะต้องตอบสนองต่อคำร้องขอดังกล่าวโดยไม่ชักช้า และภายในระยะเวลาไม่เกินกว่า 30 วัน นับจากวันที่ได้รับคำขอ

  1. สิทธิเพิกถอนความยินยอม เจ้าของข้อมูลส่วนบุคคลมีสิทธิเพิกถอนความยินยอมซึ่งได้เคยให้ไว้กับบริษัท ไม่ว่าจะเป็นการเพิกถอนความยินยอมบางส่วนหรือทั้งหมด และสามารถกระทำได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลอยู่ในความครอบครองของบริษัท ทั้งนี้ บริษัทจะต้องแจ้งถึงผลกระทบให้เจ้าของข้อมูลส่วนบุคคลทราบเมื่อมีการเพิกถอนความยินยอมของเจ้าของข้อมูลส่วนบุคคลด้วย (ถ้ามี) อย่างไรก็ดี การเพิกถอนความยินยอมจะไม่กระทบถึงการใด ๆ ที่บริษัทได้กระทำไปแล้วก่อนหน้าอันเนื่องมาจากการได้รับความยินยอมโดยชอบด้วยกฎหมายจากเจ้าของข้อมูลส่วนบุคคล
    เหตุในการปฏิเสธ: The Company may deny the Data Subject’s request only in the following cases:
    1. เป็นกรณีที่มีข้อจำกัดสิทธิในการถอนความยินยอมตามกฎหมายหรือเป็นกรณีข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
  2. สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในการครอบครองของบริษัท หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
    เหตุในการปฏิเสธ: บริษัทอาจปฏิเสธคำร้องขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิในกรณีต่อไปนี้เท่านั้น:
    1. เมื่อบริษัทจะต้องทำตามกฎหมายหรือคำสั่งศาล หรือ
    2. เมื่อบริษัทเห็นว่าจะส่งผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของบุคคลอื่น
  3. . สิทธิร้องขอรับและขอให้โอนหรือส่งข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากบริษัท หรือขอให้บริษัทส่งหรือโอนข้อมูลไปให้แก่บุคคลหรือองค์กรอื่นในรูปแบบที่สามารถอ่านได้หรือใช้งานได้โดยทั่วไป รวมถึงมีสิทธิขอรับข้อมูลส่วนบุคคลของตนเองที่บริษัทหรือบุคคลหรือองค์กรอื่นที่ได้รับโอนไปเก็บรวบรวมไว้ การร้องขอนี้จะใช้ได้ในกรณีที่บริษัทได้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยได้รับความยินยอมหรือเพื่อปฏิบัติตามสัญญาหรือคำร้องขอก่อนทำสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับบริษัทเท่านั้น
    เหตุการปฏิเสธ: บริษัทอาจปฏิเสธคำร้องขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิในกรณีต่อไปนี้เท่านั้น:
    1. ข้อมูลส่วนบุคคลดังกล่าวนั้นถูกใช้เพื่อประโยชน์สาธารณะnce with the law
    2. เพื่อปฏิบัติหน้าที่ตามกฎหมาย
    3. เมื่อการใช้สิทธินั้นจะเป็นการละเมิดสิทธิและเสรีภาพของบุคคลอื่น เช่น บริษัทอาจปฏิเสธคำขอกรณีที่ข้อมูลดังกล่าวมีข้อมูลที่เป็นความลับทางการค้า หรือข้อมูลทรัพย์สินทางปัญญาเป็นส่วนหนึ่ง
  4. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทได้ในกรณีต่อไปนี้:
    1. ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นไม่จำเป็นต่อการดำเนินการใด ๆ เพื่อประโยชน์โดยชอบด้วยกฎหมายหรือสาธารณะประโยชน์ เช่น การปฏิบัติตามคำสั่งของเจ้าหน้าที่รัฐ
      เหตุปฏิเสธคำขอ (สำหรับข้อ 4 (1)): บริษัทอาจปฏิเสธคำร้องขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิในกรณีต่อไปนี้เท่านั้น: บริษัทสามารถพิสูจน์ได้ว่ามีเหตุที่ชอบด้วยกฎหมายที่สำคัญยิ่งกว่าผลประโยชน์ สิทธิ หรือเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อก่อตั้ง ปฏิบัติตาม ใช้ หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
    2. กรณีการตลาดแบบตรง เจ้าของข้อมูลส่วนบุคคลสามารถคัดค้านได้อย่างไม่มีเงื่อนไข
    3. เพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ เว้นแต่เป็นการจำเป็นเพื่อประโยชน์สาธารณะ

    ในกรณีที่บริษัทไม่สามารถระบุเหตุผลในการปฏิเสธคำขอดังกล่าวได้ บริษัทจะต้องดำเนินการแยกข้อมูลส่วนบุคคลนั้นออกจากข้อมูลส่วนบุคคลอื่นทันที เมื่อได้รับแจ้งถึงการคัดค้านของเจ้าของข้อมูล

  5. สิทธิร้องขอให้ลบข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลกลายเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ (เช่น การทำให้ข้อมูลส่วนบุคคลนั้นกลายเป็นข้อมูลนิรนามที่ไม่สามารถระบุตัวบุคคลของเจ้าของข้อมูลได้) เมื่อมีเหตุผลใดเหตุผลหนึ่งดังนี้:
    1. ข้อมูลส่วนบุคคลนั้นหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์แล้ว
    2. เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอมและบริษัทไม่สามารถใช้ฐานทางกฎหมายอื่นในการเก็บข้อมูลได้อีก
    3. เจ้าของข้อมูลส่วนบุคคลได้คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบริษัทไม่สามารถปฏิเสธคำคัดค้านได้
    4. ข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย

    เหตุปฏิเสธคำขอ: : บริษัทอาจปฏิเสธคำร้องขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิในกรณีต่อไปนี้เท่านั้น:

    - เป็นการเก็บรักษาเพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงออก/การแสดงความคิดเห็น

    - เพื่อการบรรลุวัตถุประสงค์ในฐานเกี่ยวกับการจัดทำเอกสารทางประวัติศาสตร์หรือจดหมายเหตุ การวิจัย สถิติหรือฐานประโยชน์สาธารณะ

    - เป็นการเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหวซึ่งจำเป็นในการปฏิบัติหน้าที่ตามกฎหมายเพื่อวัตถุประสงค์ในด้านเวชศาสตร์ป้องกัน อาชีวเวชศาสตร์ ประเมินความสามารถในก- การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย

    - การใช้เพื่อปฏิบัติหน้าที่ตามกฎหมาย

    หากข้อมูลส่วนบุคคลนั้นได้ถูกเปิดเผยต่อสาธารณะโดยการกระทำของบริษัทหรือถูกโอนให้ผู้ควบคุมข้อมูลส่วนบุคคลอื่น และเจ้าของข้อมูลส่วนบุคคลได้มีคำขอให้ลบ ทำลาย หรือทำให้ข้อมูลดังกล่าวไม่สามารถระบุตัวตนได้ บริษัทต้องดำเนินการในการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวไม่สามารถระบุตัวตนได้ และต้องแจ้งผู้ควบคุมข้อมูลส่วนบุคคลอื่น ๆ ให้ดำเนินการเช่นว่าด้วย

  6. สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลได้ เมื่อ
    1. เจ้าของข้อมูลส่วนบุคคลได้มีการร้องขอให้บริษัทแก้ไขความถูกต้องของข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของบริษัทและอยู่ในระหว่างการพิจารณา อย่างไรก็ดี บริษัทอาจปฏิเสธคำขอดังกล่าวได้หากบริษัทพิจารณาแล้วเห็นว่าข้อมูลที่ได้รับการร้องขอให้แก้ไขเป็นข้อมูลที่ถูกต้องอยู่แล้ว โดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนการยกเลิกพร้อมเหตุผล
    2. เป็นการใช้ข้อมูลที่ไม่ชอบด้วยกฎหมาย แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทนการลบ
    3. ข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้แล้ว แต่เจ้าของข้อมูลได้เคยขอให้บริษัทเก็บรักษาข้อมูลไว้เพราะจำเป็นต่อการใช้ ก่อตั้ง ปฏิบัติตาม หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมายของเจ้าของข้อมูลส่วนบุคคลเอง
    4. บริษัทอยู่ในระหว่างการพิสูจน์เพื่อปฏิเสธการคัดค้านข้อมูลส่วนบุคคลของเจ้าของข้อมูล อย่างไรก็ดี บริษัทอาจพิจารณายกเลิกการระงับการใช้ข้อมูลส่วนบุคคลได้หากบริษัทพิจารณาแล้วเห็นว่าบริษัทมีสิทธิในการใช้ข้อมูลต่อไปตามเหตุแห่งการปฏิเสธสิทธิในการคัดค้านข้อมูลส่วนบุคคลที่กล่าวไปข้างต้น
  7. สิทธิขอให้แก้ไขข้อมูลส่วนบุคคลเจ้าของข้อมูลส่วนบุคคลอาจขอให้บริษัทดำเนินการให้ข้อมูลส่วนบุคคลนั้น ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
  8. สิทธิการร้องเรียน เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญซึ่งได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อเห็นว่าบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
(7) หน้าที่และความรับผิดชอบของบุคลากร

พนักงานและบุคลากรทุกคน รวมถึงบุคคลที่ได้รับการว่าจ้างและพนักงานของบุคคลที่บริษัทว่าจ้าง มีหน้าที่ในการปฏิบัติตามกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ และจะต้องรักษาความลับในข้อมูลส่วนบุคคลอย่างเคร่งครัด และไม่นำข้อมูลส่วนบุคคลที่ได้รับในระหว่างการปฏิบัติหน้าที่การงานไปใช้ในทางที่ไม่เหมาะสม ใช้เพื่อแสวงหาประโยชน์ส่วนตัว หรือใช้โดยมิชอบด้วยกฎหมาย โดยอาจแบ่งหน้าที่ได้ตามลำดับขั้น ดังนี้

  1. ตำแหน่งกรรมการผู้จัดการและบุคลากรระดับบริหาร
    มีหน้าที่กำกับดูแลกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้:
    1. กำหนดบุคคลหรือหน่วยงานซึ่งทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) และ/หรือบุคคลหรือหน่วยงานอื่น เพื่อเป็นศูนย์กลางของบริษัทในการดูแลและรับเรื่องที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
    2. มอบหมายงานให้แก่พนักงานในการกำหนดวิธีปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงวิธีปฏิบัติในการจัดการความเสี่ยงที่อาจเกิดขึ้นจากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยบริษัท พร้อมทั้งแนวทางในการแก้ปัญหาอย่างเป็นรูปธรรมเมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลขึ้นภายในบริษัท
    3. จัดให้มีการควบคุมและตรวจสอบการปฏิบัติตามนโยบายหรือความเหมาะสมของนโยบายนี้อย่างสม่ำเสมอ
    4. เป็นผู้อนุมัติในการดำเนินงานเชิงนโยบายต่าง ๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เช่น จัดให้มีการทบทวนความเหมาะสมของนโยบายนี้หรือการคุ้มครองข้อมูลส่วนบุคคลภายในบริษัทหรือการแก้ไขเปลี่ยนแปลงใดๆตามนโยบายนี้
    5. พิจารณาและอนุมัติในการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
  2. ตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) หรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
    มีหน้าที่ให้คำแนะนำและตรวจสอบกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้
    1. วิเคราะห์ ประเมิน ตรวจสอบ และควบคุมกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของบริษัท และให้คำแนะนำแก่บุคลากรหรือหน่วยงานอื่นภายในบริษัท เพื่อให้กิจกรรมการประมวลผลข้อมูลส่วนบุคคลของบริษัทเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท
    2. ตรวจสอบ และอนุมัติแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของแต่ละหน่วยงานภายในบริษัท รวมถึงการตรวจสอบและอนุมัติวิธีปฏิบัติในการจัดการความเสี่ยงที่อาจเกิดขึ้นจากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยบริษัท และแนวทางในการแก้ปัญหาเมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลขึ้นภายในบริษัท
    3. วิเคราะห์ ประเมิน และให้คำแนะนำแก่บุคลากรและหน่วยงานภายในบริษัทเกี่ยวกับการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยยะสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
    4. รายงานเหตุการณ์ต่าง ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลภายในบริษัทไปยังกรรมการผู้จัดการและบุคลากรระดับบริหาร
    5. ติดต่อประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นภายในบริษัทต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายในระยะเวลาที่กฎหมายกำหนด
    6. ศึกษารายละเอียดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎ ประกาศ คำสั่ง ระเบียบ หรือกฎหมายอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงติดตามการเปลี่ยนแปลงหรือแก้ไขเพิ่มเติมของกฎหมายคุ้มครองข้อมูลส่วนบุคคลดังกล่าว และแจ้งให้บุคลากรของบริษัททราบ
    7. อธิบาย สร้างความเข้าใจ และความตระหนักรู้แก่บุคลากรของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง
  3. ตำแหน่งระดับผู้จัดการแผนก
    มีหน้าที่กำกับดูแลการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายในแผนกของตนซึ่งอาจมีลักษณะที่แตกต่างกันไปตามแต่ละแผนก โดยอาจแบ่งหน้าที่ได้ดังนี้
    1. อนุญาตให้บุคคลใดเข้าถึงข้อมูลส่วนบุคคลหรือมอบหมายหน้าที่ให้แก่พนักงานในการเป็นผู้รับผิดชอบในการดูแลข้อมูลส่วนบุคคลในส่วนต่าง ๆ ของแผนก
    2. จัดให้มีแนวปฏิบัติและการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในแผนก และสร้างความเข้าใจร่วมกันว่าข้อมูลส่วนบุคคลประเภทใดที่จำเป็นต้องเก็บและข้อมูลส่วนบุคคลประเภทใดที่ไม่จำเป็นต้องเก็บเพื่อการใช้ปฏิบัติงานภายในแผนก
    3. จัดให้มีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลในแผนกให้มีมาตรฐานตามกฎหมายและนโยบายนี้
    4. อนุมัติในการตอบสนองคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลและปรึกษาหารือกับแผนกที่เกี่ยวข้องในเรื่องดังกล่าว รวมถึงหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท และรายงานต่อฝ่ายบริหารเพื่อขออนุมัติหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยยะสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
    5. ปรึกษาหารือกับฝ่ายบริหารและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อกำหนดวิธีปฏิบัติที่เหมาะสม
    6. จัดให้มีการบันทึกการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของแผนกตามรายการที่กำหนดในนโยบายนี้
    7. จัดเก็บรายงานกรณีได้รับแจ้งถึงเหตุการละเมิดข้อมูลส่วนบุคคล และพิจารณาว่าการละเมิดนั้นอาจมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลหรือไม่ รวมถึงการปรึกษาหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท และผู้บริหารเพื่อพิจารณาให้มีคำสั่งให้ดำเนินการใดๆ ที่เหมาะสมตามนโยบายนี้ต่อไป
    8. แจ้งผู้บังคับบัญชาและ/หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยทันทีในกรณีทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล
  4. ตำแหน่งระดับพนักงาน
    มีหน้าที่ปฏิบัติตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้อย่างเคร่งครัด โดยเฉพาะในส่วนที่เป็นขั้นตอนในระดับการปฏิบัติการ ดังนี้:
    1. เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายและนโยบายนี้ รวมถึงเข้าร่วมการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
    2. ปฏิบัติตามหน้าที่ที่ได้รับมอบหมายในการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ในเรื่องที่เกี่ยวกับการจัดการข้อมูลส่วนบุคคล เช่น ความปลอดภัย การส่ง โอนเปิดเผย หรือ การบันทึกข้อมูล ต่าง ๆ เป็นต้น;
    3. แจ้งให้ผู้บังคับบัญชาทราบในกรณีที่เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ ในบริษัท หรือคำสั่งให้กระทำการใด ๆ ดังกล่าวไม่ชอบด้วยกฎหมาย หรือเมื่อเห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ อาจก่อให้เกิดความเสี่ยงต่อการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
    4. ร้องขอให้ผู้บังคับบัญชาให้อนุมัติในกรณีได้รับคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
    5. แจ้งให้ผู้บังคับบัญชา และ/หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทราบโดยทันทีในกรณีทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล ไม่ว่าการละเมิดนั้นจะเกิดจากการจงใจหรือประมาทเลินเล่อของบุคคลใดก็ตาม และไม่ว่าการละเมิดนั้นอาจจะมีหรือไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลli>
  5. ผู้รับจ้างและผู้ให้บริการซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท
    มีหน้าที่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและนโบบายนี้อย่างเคร่งครัด นอกจากนี้ยังต้องอยู่ภายใต้บังคับของสัญญาประมวลผลข้อมูลส่วนบุคคลที่ทำไว้กับบริษัท (ถ้ามี) โดยมีหน้าที่ดังนี้:
    1. เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายและนโยบายนี้ รวมถึงเข้าร่วมการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัทเมื่อมีการร้องขอ
    2. แจ้งให้บริษัททราบโดยไม่ชักช้าหากมีการละเมิดข้อมูลส่วนบุคคล ทั้งนี้ภายในระยะเวลา 24 ชั่วโมงนับตั้งแต่ที่ทราบถึงการละเมิดนั้น
    3. สนับสนุนและช่วยเหลือบริษัทในการตอบสนองคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
    การฝ่าฝืนกฎหมายและนโยบายนี้ของพนักงานอาจถือเป็นเหตุลงโทษทางวินัยได้ และการฝ่าฝืนกฎหมายหรือนโยบายนี้ของผู้รับจ้างหรือผู้ให้บริการซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท อาจถือว่าเป็นการผิดสัญญาที่มีกับบริษัทด้วยเช่นกัน หากการฝ่าฝืนหรือไม่ปฏิบัติตามดังกล่าวส่งผลกระทบทำให้เกิดความเสียหายแก่บริษัท บริษัทอาจถือให้เป็นเหตุเลิกจ้างหรือเลิกสัญญาได้ นอกจากนี้ยังอาจมีโทษทางอาญาซึ่งเป็นโทษปรับและจำคุกสำหรับผู้กระทำการแทนบริษัทที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย พนักงานและผู้ที่เกี่ยวข้องจึงต้องศึกษากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและนโยบายนี้ และปฏิบัติตามอย่างเคร่งครัด
(8) มาตรการการคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยเชิงนโยบายและเชิงเทคนิคที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ตามมาตรฐานที่กฎหมายกำหนด

(9) การบันทึก การใช้และเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะต้องจัดให้มีการบันทึกการใช้และเปิดเผยข้อมูลที่ได้เก็บรวบรวม โดยมีรายการอย่างน้อย ได้แก่

  1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม รวมถึงวัตถุประสงค์และระยะเวลาการจัดเก็บข้อมูล
  2. การใช้หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีการเก็บข้อมูลโดยอาศัยฐานทางกฎหมายอื่นที่ไม่ใช่การขอความยินยอม
  3. สิทธิและวิธีการและเงื่อนไขในการใช้สิทธิเข้าถึงข้อมูลของเจ้าของข้อมูลส่วนบุคคล
  4. การปฏิเสธหรือคัดค้านคำขอใช้สิทธิประเภทต่างๆ พร้อมเหตุผลตามที่ระบุในนโยบายนี้ และ
  5. คำอธิบายมาตรการรักษาความมั่นคงปลอดภัยที่บริษัทจัดให้มีขึ้น

ทั้งนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถตรวจสอบและสามารถบังคับตามสิทธิได้ ตลอดจนการอำนวยความสะดวกในการเปิดเผยข้อมูลให้กับเจ้าพนักงานเมื่อมีการร้องขอ

(10) การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์กรระหว่างประเทศ

บริษัทสามารถโอนหรือส่งข้อมูลส่วนบุคคลไปยังต่างประเทศในกรณีดังต่อไปนี้

  1. ประเทศปลายทางได้ถูกรับรองว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
  2. กรณีประเทศปลายทางมีมาตรฐานไม่เพียงพอ การโอนข้อมูลส่วนบุคคลจะต้องเข้าข้อยกเว้นตามกฎหมาย อันได้แก่
    1. เป็นการปฏิบัติตามกฎหมาย
    2. ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยแจ้งให้รู้ถึงมาตรฐานที่ไม่เพียงพอของประเทศหรือองค์กรปลายทางแล้ว
    3. เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อดำเนินการตามคำร้องขอก่อนเข้าทำสัญญา
    4. เป็นการปฏิบัติตามสัญญาระหว่างบริษัทกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
    5. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
    6. เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
  3. กรณีที่เป็นการส่งหรือโอนข้อมูลระหว่างบุคคลหรือนิติบุคคลต่างประเทศซึ่งอยู่ในเครือกิจการเดียวกัน บริษัทอาจส่งหรือโอนข้อมูลส่วนบุคคลระหว่างกัน โดยบริษัทจะต้องจัดให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลสำหรับการส่งหรือโอนข้อมูลระหว่างกันในเครือธุรกิจเดียวกันที่ได้รับการตรวจสอบและรับรองจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
    ในปัจจุบัน คณะกรรมการยังมิได้มีการกำหนดประเทศที่มีมาตรฐานเพียงพอและยังไม่มีการรับรองนโยบายการส่งหรือโอนข้อมูลส่วนบุคคลระหว่างกันสำหรับบริษัทในเครือ อย่างไรก็ตาม บริษัทก็ยังสามารถส่งข้อมูลส่วนบุคคลไปต่างประเทศหรือองค์กรระหว่างประเทศได้หากบริษัทได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมสามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ รวมทั้งมีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพตามมาตรฐานที่กฎหมายกำหนด ทั้งนี้ ปัจจุบันกฎหมายยังไม่ได้กำหนดมาตรฐานดังกล่าวไว้แต่อย่างใด บริษัทจึงสามารถดำเนินการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามเงื่อนไขที่กำหนดไว้ในข้อ 2 จนกว่าจะมีการประกาศใช้กฎหมายเพิ่มเติมในเรื่องดังกล่าว
(11) การละเมิดข้อมูลส่วนบุคคล

เมื่อมีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้นภายในบริษัท โดยที่เหตุละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล พนักงานและบุคลากรทุกคนจะต้องประสานงานกันเพื่อดำเนินการให้ถูกต้องตามกฎหมาย โดยบริษัทจะต้องแจ้งการละเมิดดังกล่าวแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ที่ได้ทราบเหตุเท่าที่สามารถจะกระทำได้ ในกรณีที่การละเมิดนั้นมีความเสี่ยงสูงที่จะเกิดผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ให้บริษัทแจ้งเหตุการณ์ละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางเยียวยาโดยไม่ชักช้าด้วย

เพื่อบริษัทจะปฏิบัติตามหน้าที่ข้างต้น พนักงานทุกคนต้องแจ้งให้ผู้บังคับบัญชาของตนและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยทันทีในกรณีทราบถึงเหตุแห่งการละเมิดข้อมูลส่วนบุคคล หรือเหตุที่อาจก่อให้เกิดการละเมิดข้อมูลส่วนบุคคล

(12) การแก้ไขเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล

นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้อาจมีการแก้ไขเปลี่ยนแปลงเป็นตามสมควร ทั้งนี้ตามการเปลี่ยนแปลงของกฎหมาย และความเหมาะสมทางธุรกิจ

หมายเหตุ: นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ได้รับการแก้ไขเปลี่ยนแปลงครั้งล่าสุดเมื่อวันที่ 17 มกราคม 2565

(13) การสอบถามข้อมูลเพิ่มเติม และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

กรณีมีข้อสงสัยหรือคำถามเพิ่มเติมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือกรณีมีความประสงค์จะแจ้งเหตุแห่งการละเมิดข้อมูลส่วนบุคคล โปรดติดต่อ:

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
บริษัท ลิกซิล (ประเทศไทย) จำกัด (มหาชน) (สำนักงานฝ่ายขาย)
89 อาคารเอไอเอ แคปปิตอล เซ็นเตอร์ (ชั้น 25) ถ.รัชดาภิเษก แขวงดินแดง เขตดินแดง กรุงเทพฯ 10400
โทร. 061-421-6225