นโยบายคุ้มครองข้อมูลส่วนบุคคล
- บทนำ
บริษัท อัครา รีซอร์สเซส จำกัด (มหาชน) (“บริษัท”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล บริษัทจึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้นตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (ตามที่แก้ไขเพิ่มเติม) และกฎหมาย และกฎระเบียบที่ใช้บังคับอื่น ๆ (“พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ”)
บริษัทขอแนะนำให้เจ้าของข้อมูลส่วนบุคคลทำความเข้าใจนโยบายฉบับนี้ ซึ่งได้อธิบายถึงวิธีการที่บริษัทปฏิบัติต่อข้อมูลส่วนบุคคลของเจ้าของข้อมูล รวมถึงสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล โดยมีรายละเอียดดังนี้
- ขอบเขตของนโยบาย
นโยบายฉบับนี้มีผลบังคับใช้กับบุคคลที่ข้อมูลส่วนบุคคลนั้นระบุถึง และ/หรือ บุคคลใด ๆ ที่ได้เปิดเผยข้อมูลส่วนบุคคลให้แก่บริษัท ซึ่งรวมถึงคณะกรรมการบริษัท ผู้บริหารของบริษัท พนักงานทุกระดับของบริษัทและคู่ค้าของบริษัท รวมทั้งให้ใช้บังคับกับบุคคลผู้ซึ่งมีกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลกับบริษัทด้วย
- คำนิยาม
“นโยบาย” หมายถึง นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ รวมถึงฉบับที่ได้มีการแก้ไขเพิ่มเติมและประกาศใช้ในภายหลัง
“บริษัท” หมายถึง บริษัท อัครา รีซอร์สเซส จำกัด (มหาชน)
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล อีเมล ที่อยู่ เบอร์โทรศัพท์ รูปภาพ ข้อมูลการใช้คุกกี้ เป็นต้น
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลที่ข้อมูลส่วนบุคคลนั้นระบุถึง
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคล หรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง ผู้ที่บริษัทมอบหมายที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ ผู้ที่ดำเนินการดังกล่าวต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
“พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ” หมายถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- การเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลด้วยวิธีการโดยชอบด้วยกฎหมายและเป็นธรรมเท่าที่จำเป็นภายในขอบเขตของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ โดยมีวัตถุประสงค์และขอบเขต เพื่อการดำเนินงานภายใต้วัตถุประสงค์ของบริษัทเท่านั้น ทั้งนี้ บริษัทจะดำเนินการให้เจ้าของข้อมูลรับรู้ และให้ความยินยอมเป็นหนังสือ หรือให้ความยินยอมผ่านระบบอิเล็กทรอนิกส์ โดยเป็นไปตามหลักเกณฑ์ที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ได้กำหนดไว้ เว้นแต่การเก็บรวบรวมข้อมูลส่วนบุคคลจะเข้าข้อยกเว้นตามที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ได้กำหนดไว้
4.1 ประเภทของข้อมูลส่วนบุคคลที่มีการจัดเก็บ
ประเภทของข้อมูลส่วนบุคคลที่บริษัทอาจเก็บรวบรวมจะขึ้นอยู่กับลักษณะของกิจกรรม สถานที่ รวมถึงวิธีการเก็บรวบรวมข้อมูล ซึ่งอาจรวมถึงข้อมูลดังนี้
(1) ข้อมูลส่วนบุคคลที่ระบุตัวตนได้ อาทิ ชื่อ นามสกุล รูปถ่าย เลขที่บัตรประจำตัวประชาชน เลขที่หนังสือเดินทาง หมายเลขใบอนุญาตขับขี่ วันเกิด อาชีพ ตำแหน่ง ชื่อสถานที่ทำงาน สัญชาติ เพศ สถานภาพการสมรส ทะเบียนรถ บันทึกภาพจากกล้องวงจรปิดภายในพื้นที่ที่อยู่ในความควบคุมของบริษัท ชื่อผู้ใช้ระบบ รหัสผ่าน
(2) ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ตามคำนิยามในข้อ 3
(3) ข้อมูลการติดต่อบุคคล อาทิ ที่อยู่ที่บ้านหรือสถานที่ทำงาน หมายเลขโทรศัพท์ อีเมล สื่อสังคมออนไลน์ เช่น LINE Whatsapp และ Facebook เป็นต้น
(4) ข้อมูลทางการเงินส่วนบุคคล อาทิ รายละเอียดเกี่ยวกับบัญชีธนาคาร ข้อมูลเกี่ยวกับภาษีเงินได้บุคคลธรรมดา
(5) ข้อมูลเกี่ยวกับการจ้างงาน อาทิ ข้อมูลการสัมภาษณ์งาน การประเมินผลการทำงานตำแหน่งงาน เงินเดือน ผลประโยชน์จากการจ้างงานอื่น ๆ ข้อมูลประกันสังคม กองทุนสำรองเลี้ยงชีพ
(6) ข้อมูลสารสนเทศต่าง ๆ อาทิ ข้อมูลทางเทคนิคจากการเข้าใช้งานเว็บไซต์หรือแอปพลิเคชัน (ถ้ามี) ของบริษัท ข้อมูลการใช้งานและการเข้าถึงระบบสารสนเทศ (Log Files) เลขที่อยู่ไอพี (IP Address) คุกกี้ (Cookie)
4.2 แหล่งที่มาในการเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรงเป็นหลัก อย่างไรก็ดี บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เช่น
(1) แหล่งข้อมูลสาธารณะ
(2) การติดต่อสื่อสารใด ๆ ทั้งต่อหน้า หรือผ่านเครื่องมือสื่อสาร
(3) ผู้ที่เกี่ยวข้องของเจ้าของข้อมูลส่วนบุคคล
ทั้งนี้ หากมีการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น บริษัทจะเก็บรวบรวมโดยการปฏิบัติตามที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ได้กำหนดไว้
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะไม่ถูกจัดทำขึ้น หากไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะนั้น เว้นแต่จะมีบทบัญญัติของกฎหมายบัญญัติไว้ให้กระทำได้
การขอความยินยอม (1) จะทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ (2) จะแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และ (3) ความยินยอมนั้นจะแยกออกจากข้อความอื่นเพื่อความชัดเจนและเข้าใจง่าย
เจ้าของข้อมูลดำรงไว้ซึ่งสิทธิในการให้ความยินยอมหรือไม่ให้ความยินยอมหรือเพิกถอนความยินยอม สิทธิการขอเข้าถึงข้อมูลส่วนบุคคล สิทธิในการขอโอนข้อมูลส่วนบุคคล สิทธิในการคัดค้านการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สิทธิในการขอลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ซึ่งมีรายละเอียดตามข้อ 7
4.3 วัตถุประสงค์ในการจัดเก็บรวบรวม ใช้ ประมวลผล และเปิดเผยข้อมูลส่วนบุคคล
บริษัทจะทำการเก็บรวบรวม หรือใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูล เพื่อประโยชน์ในการดำเนินงานของบริษัท เช่น การจัดซื้อจัดจ้าง การทำสัญญา การดำเนินกิจกรรมบริษัท การติดต่อประสานงานต่าง ๆ หรือเพื่อปรับปรุงคุณภาพการทำงานให้มีประสิทธิภาพมากยิ่งขึ้น เช่น การจัดทำฐานข้อมูล วิเคราะห์และพัฒนากระบวนการดำเนินงานของบริษัท และเพื่อวัตถุประสงค์อื่นใดที่ไม่ต้องห้ามตามกฎหมาย และ/หรือเพื่อปฏิบัติตามกฎหมายหรือกฎระเบียบที่เกี่ยวข้องต่อการดำเนินงานของบริษัท โดยบริษัทจะจัดเก็บและใช้ข้อมูลดังกล่าวตามระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลหรือตามที่กฎหมายกำหนดไว้เท่านั้น
บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลหรือกระทำการใด ๆ แตกต่างจากที่ระบุในวัตถุประสงค์ของการเก็บรวบรวมข้อมูล เว้นแต่ (1) ได้แจ้งวัตถุประสงค์ใหม่ให้แก่เจ้าของข้อมูลทราบ และได้รับความยินยอมจากเจ้าของข้อมูล และ/หรือ (2) เป็นการปฏิบัติตามพระราชบัญญัติข้อมูลส่วนบุคคล หรือกฎหมายอื่นที่เกี่ยวข้อง
- การรักษาความปลอดภัยของข้อมูลส่วนบุคคล
การคุ้มครองและรักษาความปลอดภัยข้อมูลส่วนบุคคลอย่างเหมาะสมเป็นสิทธิเสรีภาพขั้นพื้นฐาน ที่เจ้าของข้อมูลส่วนบุคคลพึงได้รับ บริษัทจึงจัดให้มีนโยบายคุ้มครองข้อมูลส่วนบุคคล คู่มือการปฏิบัติ และ/หรือ มาตรการในการรักษาความปลอดภัยข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อให้มีการจัดเก็บรวบรวม ใช้ และประมวลผลอย่างจำกัด รวมทั้งการป้องกันการเข้าถึง การลบ การทำลาย และการรักษาความลับข้อมูลส่วนบุคคลให้เป็นไปตามข้อกำหนดนโยบายการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศของบริษัท และบริษัทจะจัดให้มีการทบทวนและพัฒนานโยบาย คู่มือการปฏิบัติ และ/หรือ มาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
ในกรณีที่มีการฝ่าฝืนมาตรฐานการรักษาความมั่นคงปลอดภัยของบริษัท จนเป็นเหตุแห่งการละเมิดสิทธิในข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งเจ้าของข้อมูลให้ทราบโดยเร็ว รวมทั้งแจ้งแผนการเยียวยาความเสียหายจากการละเมิดสิทธิดังกล่าว
- การโอนข้อมูลส่วนบุคคลระหว่างประเทศ
ในกรณีที่บริษัทส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปต่างประเทศ บริษัทจะดำเนินการเพื่อทำให้แน่ใจว่าได้ส่งหรือโอนไปยังประเทศปลายทาง องค์กรระหว่างประเทศ หรือผู้รับข้อมูลในต่างประเทศที่มีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
- สิทธิของเจ้าของข้อมูลส่วนบุคคล
บริษัทให้ความเคารพต่อสิทธิของเจ้าของข้อมูลส่วนบุคคลที่จะใช้สิทธิดังต่อไปนี้ได้
7.1 สิทธิในการเพิกถอนความยินยอม (Right to withdraw consent): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเพิกถอนความยินยอมที่ได้ให้ไว้แก่บริษัทได้ ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลนั้นยังมีอยู่กับบริษัท
7.2 สิทธิในการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (Right of access): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของตนเองและขอให้บริษัททำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้ รวมถึงขอให้บริษัทเปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมแก่บริษัทได้
7.3 สิทธิในการขอรับ ให้ส่งหรือโอนข้อมูลส่วนบุคคล (Right to data portability): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้ส่งหรือโอนข้อมูลส่วนบุคคลของตนที่ให้ไว้กับบริษัทไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือไปยังตัวเจ้าของข้อมูลส่วนบุคคลเองได้
7.4 สิทธิในการคัดค้านการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการคัดค้านการจัดเก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคล หากเห็นว่าไม่ถูกต้อง เหมาะสม หรือเป็นธรรมได้
7.5 สิทธิในการแก้ไขข้อมูลส่วนบุคคล (Right to rectification): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้บริษัทแก้ไขข้อมูลเพื่อให้เป็นปัจจุบัน ถูกต้อง หรือ สมบูรณ์ขึ้นได้
7.6 สิทธิในการลบข้อมูลส่วนบุคคล (Right to erasure): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้บริษัทลบ หรือทำลายข้อมูลส่วนบุคคลของตน หรือ ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ด้วยเหตุไม่มีอำนาจที่จะจัดเก็บรวบรวม หรือเพราะไม่มีความจำเป็นได้
7.7 สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (Right to restriction of processing): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการระงับการใช้ข้อมูลส่วนบุคคลของตนเพราะอยู่ระหว่างการตรวจสอบข้อมูล หรือเพราะหมดความจำเป็นได้
บริษัทไม่มีสิทธิปฏิเสธการขอใช้สิทธิตามข้างต้นของเจ้าของข้อมูลส่วนบุคคล เว้นแต่จะมีกฎหมายกำหนดโดยชัดแจ้งให้บริษัทมีสิทธิไม่ดำเนินการตามที่ร้องขอได้
เจ้าของข้อมูลสามารถขอใช้สิทธิดังกล่าวข้างต้นได้ โดยยื่นคำร้องขอใช้สิทธิต่อบริษัทเป็นลายลักษณ์อักษรหรือผ่านทางจดหมายอิเล็กทรอนิกส์ตามแบบฟอร์มที่บริษัทกำหนด ผ่าน “ช่องทางการติดต่อ” ด้านล่าง โดยบริษัทจะพิจารณาและแจ้งผลการพิจารณาภายใน 30 วัน นับแต่วันที่ได้รับคำร้องขอใช้สิทธิดังกล่าว ทั้งนี้ บริษัทอาจปฏิเสธสิทธิของเจ้าของข้อมูลได้ในกรณีที่มีกฎหมายกำหนดไว้
- การทบทวนและการเปลี่ยนแปลงนโยบาย
บริษัทอาจพิจารณาทบทวนนโยบายให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ กฎกระทรวง ประกาศ แนวปฏิบัติ และหลักเกณฑ์อื่น ๆ ที่เกี่ยวข้อง ทั้งนี้ หากบริษัทเปลี่ยนแปลงนโยบาย บริษัทจะแจ้งให้ท่านทราบด้วยการประกาศบนเว็บไซต์ของบริษัท ซึ่งหากมีความขัดแย้งกันระหว่างนโยบายฉบับเดิม ให้ถือฉบับใหม่เป็นหลัก
หากนโยบายฉบับนี้ไม่ครอบคลุมถึงสิ่งที่กฎกระทรวงหรือประกาศที่จะมีขึ้นภายหลังตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ให้นำกฎกระทรวงหรือประกาศดังกล่าวมาใช้บังคับเสมือนเป็นส่วนหนึ่งของนโยบายฉบับนี้
- ช่องทางการติดต่อ
บริษัท อัครา รีซอร์สเซส จำกัด (มหาชน)
เลขที่ 99 หมู่ 9 ตำบลเขาเจ็ดลูก อำเภอทับคล้อ จังหวัดพิจิตร 66230 ประเทศไทย
โทรศัพท์: +66 5661 4500
โทรสาร: +66 5661 4190
อีเมล์: admincgm@akararesources.com
เว็บไซต์: www.akararesources.com
- กฎหมายที่ใช้บังคับ
นโยบายฉบับนี้อยู่ภายใต้การบังคับและตีความตามกฎหมายไทย และศาลไทยเป็นผู้มีอำนาจในการพิจารณาข้อพิพาทใดที่เกิดขึ้น