นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) พ.ศ.2564
ข้อมูลส่วนบุคคลที่มีการเก็บ รวบรวม ใช้ หรือเปิดเผยในปัจจุบันทั้งในรูปแบบของข้อมูลอิเล็กทรอนิกส์ หรือโดยวิธีอื่นใดนั้น เป็นสิทธิขั้นพื้นฐานที่จะต้องได้รับความคุ้มครองให้มีความมั่นคงและปลอดภัยเพื่อให้เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล และตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กลุ่มบริษัท เนอวานา ดีเวลลอปเม้นท์ จำกัด (มหาชน) และ/หรือบริษัทร่วมทุน (“บริษัท”) ได้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ซึ่งเป็นสิทธิขั้นพื้นฐานสำคัญที่ต้องได้รับความคุ้มครองตามกฎหมาย จึงได้ประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้มีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า, พนักงาน, ผู้สมัครงาน, บุคคลภายนอก (Third Parties) รวมถึงผู้ใช้บริการที่ติดต่อกับบริษัท โดยมีรายละเอียดดังต่อไปนี้
ข้อ 1 ประกาศนี้เรียกว่า ประกาศ เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) พ.ศ. 2564
ข้อ 2 ประกาศฉบับนี้ให้มีผลใช้บังคับนับวันประกาศเป็นต้นไป
ข้อ 3 ในประกาศนี้
- ข้อมูลส่วนบุคคล หมายความว่า ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
- บุคคล หมายความว่า บุคคลธรรมดา
- เจ้าของข้อมูล หมายความว่า บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล อาทิ ลูกค้า กรรมการ พนักงาน ผู้สมัครงาน ผู้ใช้บริการ เป็นต้น
- ผู้ควบคุมข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล
ข้อ 4 นโยบายในการคุ้มครองข้อมูลส่วนบุคคล
บริษัทมีการให้บริการกับลูกค้าผ่านเว็บไซต์ www.nirvanadaii.com หรือด้วยวิธีการทางอิเล็กทรอนิกส์อื่น หรือใช้บริการอื่นใด ซึ่งเป็นไปตามขอบเขต และเงื่อนไขการให้บริการของบริษัท
(1) การเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทจะใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม และจัดเก็บข้อมูลเท่าที่จำเป็นในการให้บริการของบริษัทตามอำนาจหน้าที่และวัตถุประสงค์ในการดำเนินงานของบริษัท โดยแจ้งให้เจ้าของข้อมูลทราบและขอความยินยอมก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล รายละเอียดดังต่อไปนี้
- (ก) วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
- (ข) ข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวม
- (ค) กรณีที่เจ้าของข้อมูลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญา หรือเพื่อเข้าทำสัญญาโดยต้องแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
- (ง) ประเภทของข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวม และระยะเวลาในการเก็บรวบรวม
- (จ) ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย
- (ฉ) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ
- (ช) สิทธิของเจ้าของข้อมูลส่วนบุคคล
(2) การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
การใช้หรือเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตามวัตถุประสงค์ หรือเป็นการจำเป็นเพื่อประโยชน์ในการดำเนินการตามวัตถุประสงค์ของบริษัท และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ให้ไว้ก่อนหรือขณะนั้น เว้นแต่ในกรณีต่อไปนี้ ไม่จำเป็นต้องขอความยินยอม
- (ก) เพื่อวัตถุประสงค์ที่เกี่ยวกับการจัดเก็บเอกสารประวัติศาสตร์หรือจดหมายเหตุ ประโยชน์สาธารณะ หรือเพื่อการศึกษา วิจัย การจัดทำสถิติ ซึ่งได้จัดให้มีมาตรการที่เหมาะสม เป็นการปฏิบัติตามที่กฎหมายกำหนด
- (ข) เพื่อประโยชน์แก่การสอบสวนของพนักงานสอบสวน หรือ การพิจารณาพิพากษาคดีของศาล
- (ค) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- (ง) เพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อให้การดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
- (จ) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ
- (ฉ) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
- (ช) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
(3) การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัทมีมาตรการในการรักษาความปลอดภัยข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันมิให้ข้อมูลสูญหาย การเข้าถึง ทำลาย ใช้ เปลี่ยนแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต ซึ่งสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รายละเอียดดังต่อไปนี้
- (ก) กำหนดสิทธิและข้อจำกัดสิทธิการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล หรือถึงการแสดงหรือยืนยันตัวบุคคลผู้เข้าถึง หรือใช้ข้อมูลส่วนบุคคล
- (ข) การโอน การส่งข้อมูลส่วนบุคคลไปยังบุคคลอื่น รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บในระบบอื่นใด ผู้ให้บริการรับโอนหรือเก็บรักษาข้อมูลนั้นจะต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่มั่นคงและปลอดภัย
- (ค) ในกรณีที่มีการฝ่าฝืนมาตรการรักษาความมั่นคงปลอดภัยของบริษัท จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคล หรือข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ บริษัทจะดำเนินการแจ้งให้เจ้าของข้อมูลทราบโดยเร็ว ทั้งนี้ บริษัทจะไม่รับผิดชอบในกรณีความเสียหายใดๆ อันเกิดจากการใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่สาม รวมถึงการละเลยการออกจากระบบ (Log out) ฐานข้อมูลหรือระบบสื่อสารทางอิเล็กทรอนิกส์ของบริษัท โดยการกระทำของเจ้าของข้อมูลหรือบุคคลอื่นซึ่งได้รับความยินยอมจากเจ้าของข้อมูล
- (ง) เสริมสร้างการมีจิตสำนึก ความรับผิดชอบในด้านความมั่นคงและปลอดภัยของข้อมูลส่วนบุคคลให้แก่ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานของบริษัท ตลอดจนกำกับดูแลไม่ให้มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์ของบริษัท เว้นแต่ การปฏิบัติตามกฎหมาย และภายใต้ประกาศฉบับนี้
(4) การเปิดเผยนโยบายในการการคุ้มครองข้อมูลส่วนบุคคล
บริษัทจะเปิดเผยนโยบายในการคุ้มครองข้อมูลส่วนบุคคลนี้ และหากมีการปรับปรุง แก้ไข บริษัทจะดำเนินการเผยแพร่ทางเว็บไซต์ www.nirvanadaii.com
(5) สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิเข้าถึง ขอรับสำเนาข้อมูลส่วนบุคคล ตลอดจนมีสิทธิถอนความยินยอม หรือมีสิทธิอื่นใดตามที่กฎหมายกำหนด หรือขอให้บริษัทเปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลได้ ทั้งนี้ ตามหลักเกณฑ์และวิธีการที่บริษัทกำหนด โดยบริษัทอาจปฏิเสธคำขอของเจ้าของข้อมูลได้ตามที่กฎหมายกำหนดหรือตามคำสั่งศาล โดยเจ้าของข้อมูลสามารถแจ้งให้ทำลาย ลบ หรือระงับใช้ชั่วคราว หรือแปลงข้อมูลส่วนบุคคล หรือยกเลิกให้บริษัทเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลได้ให้ความยินยอมไว้ได้ ทั้งนี้ เจ้าของข้อมูลสามารถดำเนินการตามสิทธิดังกล่าวข้างต้นโดยแจ้งผ่านทาง Call Center โทร 1787 หรือ Email: contact@nirvanadaii.com หรือ สามารถติดต่อกับบริษัทได้ที่ ฝ่ายบริการลูกค้าสัมพันธ์ กลุ่มบริษัท เนอวานา ดีเวลลอปเม้นท์ จำกัด (มหาชน) ที่อยู่ 343/351 ถนนประเสริฐมนูกิจ แขวงนวลจันทร์ เขตบึงกุ่ม กรุงเทพมหานคร 10230
ในกรณีที่เจ้าของข้อมูล ผู้สืบสิทธิ์ ทายาท ผู้แทนโดยชอบธรรม หรือผู้พิทักษ์ตามกฎหมาย มีการคัดค้านการจัดเก็บ ความถูกต้อง หรือการกระทำใดๆ เช่น การแจ้งดำเนินการปรับปรุงแก้ไขข้อมูลส่วนบุคคล หรือลบข้อมูลส่วนบุคคล เป็นต้น บริษัทจะดำเนินการบันทึกหลักฐานคำคัดค้านดังกล่าวไว้เป็นหลักฐาน
(6) ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูลส่วนบุคคล
บริษัทกำหนดให้เจ้าหน้าที่ของบริษัทดำเนินการตามมาตรการที่กำหนดไว้ข้างต้นเพื่อให้ดำเนินงานตามนโยบายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และเป็นไปตามประกาศฉบับนี้ โดยมีการกำกับดูแลให้ปฏิบัติตามนโยบายในการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด
(7) ให้บริษัทจัดทำแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล
รวมถึงกำหนดขอบเขต รายละเอียดของการปฏิบัติงานให้มีความชัดเจน และมีมาตรการที่เหมาะสม พร้อมทั้งจัดให้มีระบบการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ระบบการตรวจสอบ และให้มีการประเมินความเสี่ยงด้านความมั่นคงและปลอดภัยของข้อมูลส่วนบุคคล อย่างน้อยปีละ 1 ครั้ง
(8) บทลงโทษ
กรณีผู้มีหน้าที่รับผิดชอบในการดำเนินงานในเรื่องใดเรื่องหนึ่งเกี่ยวกับนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของบริษัท ละเลย หรือละเว้นไม่ปฏิบัติงาน หรือไม่ดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตน จนเป็นเหตุให้เกิดความเสียหาย และ/หรือ เกิดความผิดตามกฎหมายขึ้น ผู้นั้นจะต้องถูกลงโทษทางวินัยตามระเบียบของบริษัท ทั้งนี้ หากความผิดดังกล่าวเกิดความเสียหายแก่บริษัท และ/หรือบุคคลใด บริษัทอาจพิจารณาดำเนินคดีตามกฎหมายที่เกี่ยวข้องเพิ่มเติมต่อไป
(9) การทบทวน แก้ไข ปรับปรุงนโยบายในการคุ้มครองข้อมูลส่วนบุคคล
บริษัทอาจมีการทบทวน แก้ไข ปรับปรุงรายละเอียดเกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าทั้งหมดหรือแต่บางส่วน ถ้ามีการแก้ไข บริษัทจะปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคลทางเว็บไซต์ www.nirvanadaii.com
ข้อ 5 ประกาศนี้ให้มีผลบังคับใช้ตั้งแต่วันที่ 1 ธันวาคม พ.ศ. 2564 เป็นต้นไป
ประกาศ ณ วันที่ 1 ธันวาคม พ.ศ. 2564
นโยบายคุ้มครองข้อมูลส่วนบุคคลบุคคลภายในองค์กร (กรรมการ/พนักงาน)
บริษัท เนอวานา ดีเวลลอปเม้นท์ จำกัด (มหาชน) ซึ่งต่อไปนี้เรียกว่า “บริษัท” อาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน โดยจัดทำเป็นนโยบายคุ้มครองข้อมูลส่วนบุคคล ดังนี้
วัตถุประสงค์ : บริษัทมีความจำเป็นต้องนำข้อมูลส่วนบุคคลของกรรมการและพนักงานมาใช้ในการจัดทำข้อมูลเกี่ยวกับกิจการของบริษัท โดยข้อมูลส่วนบุคคลของ กรรมการและพนักงานนั้น บริษัทจะดำเนินการรักษาความปลอดภัยและนำมาใช้ประมวลผลเพื่อกิจการของบริษัท เท่านั้น โดยการประมวลผลใด ๆ อยู่ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วยการกำหนด นโยบายและระเบียบกับ ผู้ควบคุมข้อมูล ผู้ประมวลผล และบุคคลที่เกี่ยวข้อง ดังนี้
(1) คำนิยาม
- ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือ ทางอ้อม เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ ฯลฯ
- ข้อมูลส่วนบุคคลตามประกาศนี้ หมายถึง ข้อมูลบุคคลธรรมดา เท่านั้น
- กรรมการ หมายถึง กรรมการ และกรรมการชุดย่อยของบริษัท
- พนักงาน หมายถึง พนักงาน พนักงานกำหนดระยะเวลา และพนักงานชั่วคราว
(2) ขอบเขตของข้อมูล รายการข้อมูลส่วนบุคคลของกรรมการ และพนักงานที่จำเป็นในการบริหารกิจการของบริษัท
- กรรมการ และ เพื่อให้การบริหารงานใด ๆ ของบริษัท
ข้อมูลส่วนบุคคลใด ๆ ในเอกสารประกอบการจัดตั้ง เปลี่ยนแปลงกรรมการ แก้ไขเพิ่มเติม ข้อบังคับ หรืออื่นใดที่จำเป็นในการบริหารกิจการของบริษัท ได้แก่- ชื่อ-นามสกุล
- ที่อยู่
- หมายเลขโทรศัพท์
- วันเดือนปีเกิด
- เลขที่บัตรประชาชน
- ข้อมูลส่วนบุคคลที่กฎหมายกำหนดให้นำมาประมวลผล
- พนักงาน เพื่อให้การบริหารงานใด ๆ ของบริษัท ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของพนักงาน
- ข้อมูลส่วนบุคคลใด ๆ ในใบสมัครงาน และเอกสารประกอบการสมัครงานที่บริษัทกำหนด สัญญาว่าจ้าง
- ข้อมูลส่วนบุคคลที่บริษัท มีสิทธิขอเพิ่มเติมขณะทำงาน เช่น ใบรับรองแพทย์ผลการตรวจสุขภาพ หรือ ทะเบียนรถยนต์รถจักรยานยนต์เพื่อการอนุญาตเข้า-ออกพื้นที่ของบริษัท หรือ ข้อมูลส่วนบุคคลอื่นใดที่บริษัทพิจารณาเห็นความจำเป็นในทางการบริหาร เป็นต้น
(3) นโยบายการเก็บ รักษา ใช้ ข้อมูลส่วนบุคคลของกรรมการ และพนักงาน
- บริษัท ให้ความเคารพสิทธิส่วนบุคคลของกรรมการและพนักงานอย่างสูงสุด
- บริษัท จะขอข้อมูลส่วนบุคคลของกรรมการและพนักงานเท่าที่จำเป็น หรือ ตามที่กฎหมาย หรือ ตามที่องค์กร หน่วยงาน ที่เกี่ยวข้องกำหนดเท่านั้น
- บริษัท จัดให้มีการเก็บ รักษา ใช้ข้อมูลส่วนบุคคลอย่างรัดกุม ปกปิด เป็นความลับ
- กรรมการ และพนักงานเจ้าของข้อมูลส่วนบุคคลทุกคน มีสิทธิในการขอดู ตรวจสอบ เข้าถึงข้อมูลนั้นได้ตลอดเวลาที่มีการเก็บรักษา รวมถึงมีหน้าที่แจ้งข้อมูลเพิ่มเติมในกรณีที่มีการเปลี่ยนแปลงข้อมูลส่วนบุคคล หรือ นำส่งข้อมูลในกรณีที่บริษัท หรือ หน่วยงานที่เกี่ยวข้องร้องขอเพิ่มเติม
- กรณีที่บุคคลหรือหน่วยงานภายนอก ต้องการทราบข้อมูลใด ๆ ของกรรมการ และพนักงาน ให้ทำเป็น หนังสือระบุเหตุผลความจำเป็นที่ต้องการมาให้ผู้ควบคุมข้อมูลพิจารณาอนุมัติก่อน ห้ามเปิดเผยหรือให้ โดยไม่ได้รับอนุมัติ
- ในกรณีที่หน่วยราชการขอข้อมูลของกรรมการ และพนักงาน ให้แจ้งผู้ควบคุมข้อมูลส่วนบุคคลพิจารณา / ทบทวนก่อนส่งให้ ยกเว้นการส่งให้ตามรอบปกติที่กฎหมายกำหนด เช่น สรรพากร ประกันสังคม ให้ส่งได้ และบันทึกการส่งไว้เพื่อการตรวจสอบ
- การเก็บ รักษา ใช้ การตรวจสอบ ทบทวน อนุมัติ หรือ ดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลตาม นโยบายนี้ ให้ทำเป็นความลับ เท่าที่จำเป็น โดยสุจริต และให้ถือว่าข้อมูลลับส่วนบุคคลของกรรมการและ พนักงานนี้เป็นข้อมูลลับในระดับสูงสุด
(4) ผู้ควบคุมข้อมูล และผู้มีหน้าที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของกรรมการ และพนักงาน
ผู้ควบคุมข้อมูลส่วนบุคคลและผู้หน้าที่เกี่ยวข้องกับการประมวลผลข้อมูล มีหน้าที่ต้องปฏิบัติตาม แนวนโยบายโดยเคร่งครัด ดังนี้
- กรรมการผู้มีอำนาจหรือประธานเจ้าหน้าที่บริหาร มีหน้าที่ดังต่อไปนี้
- แต่งตั้งผู้ควบคุมข้อมูลส่วนบุคคล, ผู้ประมวลผลข้อมูลส่วนบุคคล ให้สอดคล้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดย 4.1 กรรมการผู้มีอำนาจหรือ กรรมการผู้จัดการ เป็นผู้กระทำการในนามผู้ควบคุมข้อมูลส่วนบุคคล
- เป็นผู้ทบทวน / อนุมัติการใช้ การควบคุมข้อมูลส่วนบุคคลในส่วนที่เกินจากอำนาจของ ผู้ควบคุมข้อมูลส่วนบุคคล หรือ การส่งข้อมูลกรรมการและพนักงานไปให้หน่วยงานภายนอก หรือ ต่างประเทศที่เกี่ยวข้อง
- ผู้อำนวยการฝ่ายทรัพยากรบุคคล และผู้อำนวยการฝ่ายเลขานุการบริษัท มีหน้าที่ดังต่อไปนี้
- ผู้อำนวยการฝ่ายเลขานุการบริษัทเป็นผู้กระทำการแทนในนามผู้ควบคุมข้อมูลส่วนบุคคล หรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล โดยใช้ข้อมูลส่วนบุคคลของกรรมการ
ผู้อำนวยการฝ่ายทรัพยากรบุคคลเป็นผู้กระทำการแทนในนามผู้ควบคุมข้อมูลส่วนบุคคล หรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล โดยใช้ข้อมูลส่วนบุคคลของพนักงาน
ตามวัตถุประสงค์ที่แจ้งไว้ต่อ กรรมการและพนักงาน เพื่อกิจการของบริษัทเท่านั้น - จัดทำรายละเอียดเกี่ยวกับข้อมูลของกรรมการและพนักงานที่จะเก็บ รักษา และควบคุม ข้อมูลส่วนบุคคลที่จำเป็นต้องใช้งาน พร้อมเหตุผลความจำเป็นในการใช้
- กำหนดวิธีและสถานที่เก็บข้อมูลที่ปลอดภัย
- การเก็บเป็นเอกสาร ตู้เก็บเอกสารต้องมีกุญแจเปิด – ปิด เฉพาะคนที่เกี่ยวข้องเท่านั้น
- การเก็บในคอมพิวเตอร์หรือระบบสารสนเทศต้องมีรหัส(Password) เฉพาะบุคคล ที่เก็บรักษาเท่านั้น
- การเข้าใช้ข้อมูลให้เพิ่มเติมได้แต่จะลบจะเปลี่ยนแปลงจะนำออกเองโดยพลการไม่ได้ต้องได้รับอนุมัติจากผู้ควบคุมข้อมูล
- แจ้งให้กรรมการและพนักงานเข้าใจเหตุผล ความจำเป็นที่ต้องมีนโยบาย ระเบียบปฏิบัตินี้รวมถึงให้รู้สิทธิและหน้าที่ตามนโยบายนี้
- หากพบเหตุผิดปกติในการเก็บ รักษา การใช้ข้อมูลผิดไปจากนโยบาย หรือผิดไปจากที่กฎหมายกำหนดให้ระงับ ยับยั้งเหตุผิดปกตินั้นทันที และรายงานให้ ประธานเจ้าหน้าที่บริหารของบริษัททราบเพื่อแก้ไข ป้องกันได้ทันเหตุการณ์
- ทบทวน ตรวจสอบการเก็บข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลของกรรมการ และพนักงานได้รับการเก็บ รักษา ใช้ตรงตามนโยบาย หรือ กฎหมายกำหนด
- จัดทำรายงานข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด พร้อมรับการตรวจสอบและหรือส่งให้หน่วยงานที่กฎหมายกำหนด บันทึกการใช้ การเก็บรักษาข้อมูลไว้เพื่อการตรวจสอบเพื่อให้มั่นใจว่าปฏิบัติถูกต้องตาม นโยบายนี้
- ผู้อำนวยการฝ่ายเลขานุการบริษัทเป็นผู้กระทำการแทนในนามผู้ควบคุมข้อมูลส่วนบุคคล หรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล โดยใช้ข้อมูลส่วนบุคคลของกรรมการ
- พนักงานฝ่ายทรัพยากรบุคคล ผู้กระทำการแทนในนามผู้ควบคุมข้อมูลส่วนบุคคล ด้วยการเก็บรวบรวมข้อมูล ใช้เปิดเผย ตามวัตถุประสงค์ที่ได้แจ้งไว้กับ พนักงาน เจ้าของข้อมูลส่วนบุคคล ดังนี้
- ข้อมูลพนักงาน เก็บไว้ตลอดที่มีนิติสัมพันธ์นายจ้างลูกจ้างทางกฎหมายระหว่างกัน และให้เก็บไว้ตามสิทธิเรียกร้องตามกฎหมายที่บริษัทพึงมี แต่ไม่เกิน 10 ปีนับแต่วันเกิดสิทธิ
- วิธีการทำลายข้อมูล ให้ใช้วิธีย่อย หรือ เผาทำลาย หรือวิธีการอื่นที่มั่นใจว่าไม่มีบุคคลอื่นล่วงรู้ ในข้อมูลนั้น
- เก็บกุญแจ หรือ Password ที่เกี่ยวข้องกับการเก็บข้อมูล
- บันทึกการใช้ การเปลี่ยนแปลง เก็บ รักษาข้อมูลไว้เพื่อการตรวจสอบเพื่อให้มั่นใจว่าปฏิบัติถูกต้องตามนโยบายนี้
- เป็นผู้กระทำการแทนหรือผู้แทนของผู้ควบคุมข้อมูลส่วนบุคคลหรือบริษัท ใช้ เก็บ รักษาข้อมูลส่วนบุคคลที่เกี่ยวกับค่าจ้าง สวัสดิการประกันสังคม ภาษีเงินได้ของพนักงานแต่ละคน
- เป็นผู้มีสิทธิขอเอกสารข้อมูลส่วนบุคคลเพิ่มเติม เพื่อคำนวณภาษีประจำปี หรือ เพื่อจัดสวัสดิการเพิ่มเติมระหว่างปี
- เป็นผู้ออกหนังสือรับรองค่าจ้าง หรือ ข้อมูลอื่น ที่เจ้าของข้อมูลร้องขอ
- เก็บรักษาข้อมูลเกี่ยวกับค่าจ้างไว้ตลอดเวลาตามที่สรรพากรกำหนด
- เก็บข้อมูลการเจ็บป่วยของพนักงานไว้เป็นความลับ
(5) การเข้าถึง การตรวจสอบ และการแจ้งเพิ่มเติม ข้อมูลส่วนบุคคลของกรรมการและพนักงาน
กรรมการและพนักงานที่เป็นเจ้าของข้อมูลส่วนบุคคลที่บริษัท เก็บ รักษาไว้ มีสิทธิและหน้าที่ดังต่อไปนี้
- มีสิทธิขอตรวจสอบการเก็บรักษา การใช้ข้อมูลของตนเองได้ทุกวันในเวลาทำงาน โดยแจ้งความประสงค์ได้ที่ผู้ควบคุมข้อมูลส่วนบุคคลเพื่อดำเนินการให้
- มีสิทธิขอรับการรับรอง หรือใช้มูลส่วนบุคคลเฉพาะของตนเองเท่านั้น โดยแจ้งความประสงค์ต่อผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการให้
- มีสิทธิคัดค้านการเก็บ หรือเปิดเผย และขอให้ลบ ทำลาย รวมถึงระงับการใช้ข้อมูลส่วนบุคคลของตนเองได้ แต่การใช้สิทธินี้หากกระทบต่อสิทธิทางกฎหมาย และ/หรือ มีผลต่อหน้าที่ทางกฎหมาย ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับเจ้าของข้อมูลส่วนบุคคลแล้ว สมาคมอาจยกขึ้นอ้างเพื่อปฏิเสธ ความรับผิดได้
- มีหน้าที่จัดส่งเอกสาร หรือ ข้อมูลส่วนบุคคลใด ๆ ที่บริษัท ร้องขอภายในเวลาที่บริษัทกำหนด
- สิทธิอื่นใดนอกเหนือจากข้อ 5.1 ถึงข้อ 5.4 ที่กำหนดไว้ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อันรวมไปถึงประกาศต่าง ๆ ตามที่คณะกรรมการและพนักงานข้อมูลส่วนบุคคลของสำนักงานคณะกรรมการและพนักงานคุ้มครองข้อมูลส่วนบุคคลจะกำหนดขึ้นด้วย
(6) บทลงโทษผู้ฝ่าฝืนระเบียบปฏิบัตินี้และ/หรือละเมิดสิทธิส่วนบุคคลของกรรมการและพนักงาน
- พนักงานผู้ใดเปิดเผย ใช้ ละเมิด ข้อมูลส่วนบุคคลของกรรมการหรือพนักงานอื่น หรือ นำไปใช้ประโยชน์ ส่วนตัวด้วยการกระทำโดยเจตนาหรือประมาท ไม่ว่าจะเกิดเสียหายต่อเจ้าของข้อมูลส่วนบุคคลหรือไม่ หากการกระทำโดยไม่ได้รับอนุมัติจากผู้ควบคุมข้อมูลส่วนบุคคล 4.1 กรรมการผู้มีอำนาจหรือกรรมการ ผู้จัดการ หรือ จากเจ้าของข้อมูล บริษัท ถือว่าเป็นความผิดร้ายแรง อาจลงโทษถึงขั้นเลิกจ้างโดยไม่จ่าย ค่าชดเชยใด ๆ
- พนักงานที่บริษัทมอบหมายให้มีหน้าที่เก็บ รักษา ใช้ ตรวจสอบข้อมูล ถือเป็นผู้กระทำการแทนหรือผู้แทน ของผู้ควบคุมข้อมูลส่วนบุคคลหรือบริษัท หากกระทำความผิดเสียเอง จะถูกพิจารณาลงโทษในอัตราสูง กว่าพนักงานทั่วไป
- พนักงานผู้ใด ละเมิด ไม่ปฏิบัติตามนโยบาย ระเบียบปฏิบัตินี้หากเกิดความเสียหายใด ๆ พนักงานผู้นั้นต้องชดใช้ความเสียหายด้วยตนเองเต็มจำนวนตามที่กฎหมายกำหนด
ประกาศเมื่อวันที่ 1 ธันวาคม 2564 ให้ทราบโดยทั่วกัน