นโยบายการคุ้มครองข้อมูลส่วนบุคคล

บริษัท อิทธิฤทธิ์ เทคโนโลยี จำกัด ให้ความสำคัญอย่างยิ่งกับการคุ้มครองข้อมูลส่วนบุคคล และการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และโดยที่การดำเนินงานของสำนักงานต้องมีการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคล สำนักงานจึงเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ต้องมีหน้าที่และความรับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย

ขอบเขต

นโยบายนี้มีผลบังคับใช้กับผู้ที่เกี่ยวข้องกับการบริหารจัดการข้อมูลตลอดวงจรชีวิตข้อมูลของสำนักงาน เช่น ผู้อำนวยการ คณะกรรมการ คณะอนุกรรมการ พนักงาน ลูกจ้าง คณะทำงาน นิสิตและนักศึกษาฝึกงาน คู่สัญญา หน่วยงานภายนอกหรือบุคคลภายนอกที่ปฏิบัติงานในนามหรือร่วมงานกับสำนักงาน เป็นต้น ตลอดจนผู้ที่อยู่ในโครงสร้างธรรมาภิบาลข้อมูล และผู้ที่มีหน้าที่โดยตรงในการสนับสนุนการดำเนินการและการปฏิบัติตามนโยบายนี้ สำนักงานมุ่งหวังให้ผู้ที่ต้องปฏิบัติตามนโยบายนี้ ได้มีการทำความเข้าใจหลักการและแนวทางที่กำหนดนโยบายนี้ และพึงยึดถือปฏิบัติอย่างเคร่งครัด หากมีผู้ที่ปฏิบัติฝ่าฝืนนโยบาย รวมถึงแนวปฏิบัติต่าง ๆ ภายใต้นโยบายนี้ สำนักงานจะพิจารณาดำเนินมาตรการที่จำเป็นเพื่อลงโทษผู้ที่ฝ่าฝืนนั้น

บริษัท อิทธิฤทธิ์ เทคโนโลยี จำกัด มุ่งหวังให้ผู้ที่ต้องปฏิบัติตามนโยบายนี้ ได้มีการทำความเข้าใจหลักการและแนวทางที่กำหนดนโยบายนี้ และพึงยึดถือปฏิบัติอย่างเคร่งครัด หากมีผู้ที่ปฏิบัติฝ่าฝืนนโยบาย รวมถึงแนวปฏิบัติต่าง ๆ ภายใต้นโยบายนี้ สำนักงานจะพิจารณาดำเนินมาตรการที่จำเป็นเพื่อลงโทษผู้ที่ฝ่าฝืนนั้น

วัตถุประสงค์

1.เพื่อให้การดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลของสำนักงานเป็นไปตามข้อกำหนดของกฎหมาย

2.

เพื่อเป็นแนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคคลที่สำนักงานมีการเก็บรวบรวมและประมวลผล ให้กับพนักงานและผู้ที่มีส่วนเข้าไปเกี่ยวข้องกับข้อมูลส่วนบุคคลดังกล่าวได้ยึดถือปฏิบัติโดยเคร่งครัด

3.

เพื่อให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าข้อมูลส่วนบุคคลที่สำนักงานมีการเก็บรวบรวมไว้จะได้รับการปกป้องดูแลและนำไปประมวลผลอย่างเหมาะสม โปร่งใส และเป็นไปตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

คำนิยาม

กฎหมายคุ้มครองข้อมูลส่วนบุคคล หมายความว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และที่มีการแก้ไขเพิ่มเติมในอนาคต รวมถึงกฎหมายลำดับรองและกฎเกณฑ์ต่าง ๆ ที่เกี่ยวข้อง

ข้อมูลส่วนบุคคล (Personal Data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม อาทิเช่น ชื่อ นามสกุล ชื่อเล่น อีเมล หมายเลขโทรศัพท์ ที่อยู่ ทะเบียนรถยนต์ รวมถึงข้อมูลทางชีวมิติ (Biometric) เช่น ใบหน้า ลายนิ้วมือ เป็นต้น แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

เจ้าของข้อมูล (Data Subject) หมายความว่า บุคคลธรรมดาที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น แต่ไม่ใช่กรณีที่บุคคลมีความเป็นเจ้าของข้อมูล (Ownership) หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง

การประมวลผล (Processing) หมายความว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

พนักงาน หมายความว่า ผู้บริหาร พนักงาน ลูกจ้าง ผู้ที่ทำงานหรือปฏิบัติงานให้กับสำนักงานด้วยมีข้อตกลงของสัญญา หรือได้รับการแต่งตั้งตามกฎหมายให้มาปฏิบัติงาน

หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล

สำนักงานจะประมวลผลข้อมูลส่วนบุคคล โดยอยู่บนพื้นฐานหลักการสำคัญดังต่อไปนี้

1.

การประมวลผลข้อมูลส่วนบุคคลต้องเป็นไปโดยชอบด้วยกฎหมาย เป็นธรรม และมีความโปร่งใส ต่อเจ้าของข้อมูลส่วนบุคคล (Lawfulness, Fairness and Transparency)

2.

การประมวลผลข้อมูลส่วนบุคคลจะดำเนินการภายในขอบเขตวัตถุประสงค์ที่สำนักงานกำหนด โดยเป็นวัตถุประสงค์ที่มีความแจ้งชัด และมีผลบังคับตามกฎหมาย และจะไม่มีการประมวลผลข้อมูลไปในทางที่ไม่สอดคล้องหรือไม่เป็นไปตามวัตถุประสงค์ดังกล่าว (Purpose Limitation)

3.

การประมวลผลข้อมูลส่วนบุคคล ต้องเป็นไปเท่าที่เพียงพอ มีความเกี่ยวข้อง และจำเป็น ต่อวัตถุประสงค์ของการประมวลผลข้อมูลดังกล่าว (Data Minimization)

4.

การประมวลผลข้อมูลส่วนบุคคล ต้องเป็นการดำเนินการที่ถูกต้อง และต้องทำให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น โดยจะมีการดำเนินการตามขั้นตอนที่เหมาะสมเพื่อให้แน่ใจว่าข้อมูลที่ไม่ถูกต้องดังกล่าวได้รับการปรับปรุงแก้ไข (Accuracy)

5.

การจัดเก็บข้อมูลส่วนบุคคลต้องเป็นไปตามระยะเวลาเท่าที่จำเป็นต่อการประมวลผลข้อมูลนั้น (Storage Limitation) เว้นแต่กรณีมีกฎหมายกำหนดไว้ให้สำนักงานมีหน้าที่ต้องจัดเก็บข้อมูลส่วนบุคคลไว้นานกว่าระยะเวลาเท่าที่จำเป็นดังกล่าว

6.

การประมวลผลข้อมูลส่วนบุคคลต้องมีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม รวมถึงมีการป้องกันการประมวลผลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย และป้องกันการสูญหายโดยอุบัติเหตุ การถูกทำลาย หรือถูกทำให้เสียหาย (Integrity and Confidentiality)

การปฏิบัติให้สอดคล้องตามหลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล

สำนักงานให้ความสำคัญอย่างยิ่งกับการคุ้มครองข้อมูลส่วนบุคคล โดยมีการกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด รวมถึงมีการกำหนดมาตรการควบคุมภายใน จัดทำแนวทางปฏิบัติ คู่มือที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้การดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพ สอดคล้องตามหลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล และพนักงานของสำนักงานมีการปฏิบัติตามกฎหมาย นโยบายและแนวปฏิบัติอย่างเคร่งครัด

สำนักงานมีแนวทางการดำเนินงานเพื่อให้มั่นใจได้ว่า หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคลตามข้อ 5. จะมีการนำไปสู่การปฏิบัติจริงได้ โดย

1.

ให้มีการกำหนดโครงสร้างองค์กรเพื่อกำหนดผู้รับผิดชอบ และหน้าที่ความรับผิดชอบในการควบคุมดูแลและอำนวยการให้การดำเนินงานของสำนักงานมีความสอดคล้องและเป็นไปตามวัตถุประสงค์ของนโยบายนี้ และเป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด ตลอดจนการให้คำปรึกษาแก่พนักงาน และเป็นตัวแทนของสำนักงานในการติดต่อประสานงานกับเจ้าของข้อมูล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

2.

ให้มีการกำหนดแนวปฏิบัติและกำหนดหน้าที่ความรับผิดชอบของพนักงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งสอดคล้องกับนโยบายนี้และกฎหมายคุ้มครองข้อมูลส่วนบุคคล ตลอดจนนโยบายอื่น ๆ ที่เกี่ยวข้อง

3.

ให้มีการอบรมให้ความรู้ สร้างความตระหนักและความเข้าใจกับพนักงานของสำนักงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

4.

ให้มีการแจ้งผู้ใช้บริการหรือผู้ที่มีการติดต่อกับสำนักงานให้ทราบว่า เหตุใดสำนักงานต้องมีการประมวลผลข้อมูลของผู้ใช้บริการหรือผู้ที่มาติดต่อกับสำนักงาน รวมถึงสำนักงานจะมีการแบ่งปันหรือเปิดเผยข้อมูลเหล่านี้กับใครบ้าง ผ่านทางประกาศความเป็นส่วนตัว (Privacy Notice) และประกาศการใช้คุกกี้ (Cookie Notice) ที่ชัดเจน

5.

ในกรณีที่ต้องมีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล การขอความยินยอมดังกล่าวต้องชัดแจ้ง มีการใช้ถ้อยคำที่ชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย

6.

ให้มีการกำหนดวิธีการ ช่องทาง และผู้รับผิดชอบในการรับเรื่องร้องเรียน คำร้อง และดำเนินการใด ๆ เกี่ยวกับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

7.

ให้มีการกำหนดกระบวนการ และผู้รับผิดชอบในการดำเนินการเกี่ยวกับการตรวจสอบ การสืบสวนสอบสวน และการจัดทำรายงานภายในสำนักงาน กรณีมีเหตุละเมิดข้อมูลส่วนบุคคล

8.

ให้มีการบันทึกรายการตามมาตรา 39 กฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตรวจสอบได้ เช่น ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูล เป็นต้น และให้มีการทบทวน ตรวจสอบรายการบันทึกดังกล่าว อย่างน้อยปีละ 1 ครั้ง

9.

ให้มีการจัดทำตารางการจัดเก็บข้อมูล (Retention Schedule) เพื่อให้มั่นใจว่า ข้อมูลส่วนบุคคลที่สำนักงาน จัดเก็บ มีระยะเวลาการจัดเก็บเท่าที่จำเป็นและเป็นไปตามวัตถุประสงค์

10.

ให้มีการจัดทำข้อตกลงหรือสัญญาการประมวลผลข้อมูลส่วนบุคคล กรณีที่สำนักงานมีการว่าจ้างหรือมอบหมายให้บุคคลภายนอกมาดำเนินการประมวลผลข้อมูลส่วนบุคคลของสำนักงาน

11.

ให้มีการกำหนดมาตรการภายใน สำหรับกรณีการส่งหรือโอนข้อมูลส่วนบุคคลไปนอกสำนักงาน ทั้งในประเทศและต่างประเทศ

หลักการในการประมวลผลข้อมูล

การประมวลผลข้อมูลส่วนบุคคลใด ๆ ที่ดำเนินการโดยสำนักงานจะเป็นไปโดยชอบด้วยกฎหมาย โดยอยู่บนหลักการสำคัญ ดังนี้

1.

การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น

2.

การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

3.

การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล

4.

การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

5.

การประมวลผลข้อมูลนั้นเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล โดยเป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

6.

การประมวลผลข้อมูลนั้นเป็นการปฏิบัติตามหน้าที่ที่กฎหมายกำหนด

7.

เจ้าของข้อมูลได้ให้ความยินยอมแล้ว

สิทธิของเจ้าของข้อมูล

สำนักงานตระหนักดีว่า เจ้าของข้อมูลมีสิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และสำนักงานให้ความสำคัญอย่างยิ่งในการดูแลและอำนวยความสะดวกแก่เจ้าของข้อมูลในการดำเนินการตามสิทธิเหล่านั้น ดังนี้

1.

สิทธิในการได้รับแจ้งสำนักงานจะมีการแจ้ง “ประกาศความเป็นส่วนตัว (Privacy Notice)” ที่มีรายละเอียดวัตถุประสงค์ในการประมวลผลที่ชัดเจน รวมถึง “ประกาศการใช้คุกกี้ (Cookie Policy)” ที่แสดงถึงประเภทเทคโนโลยีคุกกี้ที่สำนักงานมีการใช้ รวมถึงวัตถุประสงค์ในการใช้เทคโนโลยีคุกกี้เหล่านั้น และในกรณีที่สำนักงานมีการประมวลผลข้อมูลไม่เป็นไปตามวัตถุประสงค์ หรือที่นอกเหนือความยินยอมใด ๆ ที่ได้ให้ไว้ สำนักงานจะแจ้ง และ/หรือขอความยินยอมจากเจ้าของข้อมูลก่อนการประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกวัตถุประสงค์ดังกล่าว

2.

สิทธิในการเพิกถอนความยินยอมเจ้าของข้อมูลสามารถขอเพิกถอนความยินยอมที่เคยให้สำนักงานไว้ได้ทุกเมื่อ

3.

สิทธิในการเข้าถึงข้อมูลเจ้าของข้อมูลสามารถขอเข้าถึงข้อมูลส่วนบุคคลของตนเอง และขอสำเนาข้อมูลกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ตลอดจนสามารถขอให้สำนักงานเปิดเผยการได้มาซึ่งข้อมูลดังกล่าวได้

4.

สิทธิในการแก้ไขข้อมูลเจ้าของข้อมูลสามารถขอปรับปรุงแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องได้ เพื่อให้ข้อมูลดังกล่าวมีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด

5.

สิทธิในการลบข้อมูล เจ้าของข้อมูลสามารถขอให้สำนักงานลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้

6.

สิทธิในการโอนข้อมูลในกรณีที่ระบบข้อมูลของสำนักงานรองรับการอ่านหรือใช้งานโดยทั่วไปด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานอัตโนมัติ และสามารถใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลส่วนบุคคลสามารถขอรับสำเนาข้อมูลส่วนบุคคลของตนได้ รวมถึงขอให้มีการโอนถ่ายข้อมูลดังกล่าวไปยังผู้ควบคุมข้อมูลอื่นโดยอัตโนมัติได้ และขอรับข้อมูลส่วนบุคคลที่มีการส่งหรือโอนดังกล่าวได้

7.

สิทธิในการระงับการใช้ข้อมูล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้สำนักงานระงับการใช้ข้อมูลส่วนบุคคลได้

8.

สิทธิในการคัดค้านการประมวลผลข้อมูล เจ้าของข้อมูลสามารถขอคัดค้านการประมวลผลข้อมูลส่วนบุคคลได้

เจ้าของข้อมูลสามารถอ่านเงื่อนไขการขอใช้สิทธิเพิ่มเติมได้ในประกาศความเป็นส่วนตัว (Privacy Notice) ทั้งนี้ ในบางกรณี สำนักงานอาจปฏิเสธคำขอใช้สิทธิข้างต้น หากมีเหตุอันชอบธรรมด้วยกฎหมาย หรือเป็นการดำเนินการใด ๆ เพื่อวัตถุประสงค์หรือเป็นกรณีที่ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล หรือเป็นกรณีที่อาจส่งผลกระทบและก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของเจ้าของข้อมูลหรือบุคคลอื่น

นโยบาย แนวปฏิบัติและคู่มืออื่นที่เกี่ยวข้อง

1.

นโยบายธรรมาภิบาลข้อมูล

2.

ขั้นตอนการปฏิบัติงาน เรื่อง การบริหารจัดการข้อมูล

3.

นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

4.

แนวทางและขั้นตอนการรับคำร้องขอใช้สิทธิของเจ้าของข้อมูล

การทบทวนและปรับปรุงนโยบาย

สำนักงานจะมีการทบทวนนโยบายนี้ให้เป็นปัจจุบันเสมออย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่จำเป็นต้องได้รับการปรับปรุง เพื่อให้นโยบายนี้มีความเหมาะสมกับสถานการณ์ที่มีการเปลี่ยนแปลง และจะมีการประกาศให้ทราบบนเว็บไซต์ บริษัท อิทธิฤทธิ์ เทคโนโลยี จำกัด และช่องทางการสื่อสารอื่น ๆ ที่เหมาะสม