นโยบายการคุ้มครองข้อมูลส่วนบุคคล

นโยบายข้อที่ 1 หลักการและวัตถุประสงค์

ในปัจจุบันเทคโนโลยีมีความก้าวหน้ามากขึ้น รวมถึงระบบสื่อสารทำให้การเก็บรวบรวม การเปิดเผยข้อมูลส่วนบุคคลสามารถทำได้โดยง่าย อาจจะทำให้เกิดความเดือดร้อนหรือนำไปแสวงหาประโยชน์หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมหรือแจ้งล่วงหน้า ร้านนรินทร์มอเตอร์ ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้เจ้าของข้อมูลส่วนบุคคลเชื่อมั่นว่า ร้านนรินทร์มอเตอร์ จะดูแลรักษาข้อมูลส่วนบุคคลโดยจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมอย่างมีประสิทธิภาพ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ร้านนรินทร์มอเตอร์ ได้มีนโยบายคุ้มครองข้อมูลส่วนบุคคล เพื่อชี้แจงรายละเอียดเกี่ยวกับการกำกับดูแล

นโยบายข้อที่ 2 ขอบเขตการบังคับใช้

นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ได้มีการบังคับใช้กับพนักงาน ร้านนรินทร์มอเตอร์ และบุคคลที่เกี่ยวข้องกับการเก็บรวบรวมข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของ ร้านนรินทร์มอเตอร์

นโยบายข้อที่ 3 คำนิยาม

• ข้อมูลส่วนบุคคล ( Personal Data ) หมายถึง ข้อมูลที่เกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะทางตรงหรือทางอ้อม ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
• ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ( Sensitive data ) หมายถึง ข้อมูลส่วนบุคคลที่เกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนาและปรัชญา ประวัติอาชญากรรม ข้อมูลสุขภาพ หรือข้อมูลใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
• เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลธรรมดาที่เป็นเจ้าของข้อมูลส่วนบุคคล
• ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ข้อมูลหรือเปิดเผยข้อมูลส่วนบุคคล
• ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเก็บรวบรวมข้อมูล ใช้ข้อมูลหรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยบุคคลหรือนิติบุคคลที่ดำเนินการไม่ได้เป็นผู้ควบคุมข้อมูลส่วนบุคคล
• การประมวลผล (Processing) การรวบรวมการใช้ข้อมูลหรือการเปิดเผยข้อมูลส่วนบุคคล

นโยบายข้อที่ 4 นโยบายและแนวทางปฏิบัติ

4.1 การกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล

บริษัทฯ จัดให้มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีบทบาท หน้าที่ และความรับผิดชอบตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯและตามกฎหมายที่กำหนด

4.2 การประมวลผลข้อมูลส่วนบุคคล

1. 1. 1. บริษัทฯ จะดำเนินการเก็บรวบรวมข้อมูลและเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์ของบริษัทฯและถูกต้องตามกฎหมาย
      2. บริษัทฯ จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดวัตถุประสงค์ในการเก็บรวบรวมข้อมูลและเปิดการเปิดเผยข้อมูล สิทธิของเจ้าของข้อมูลเพื่อดำเนินการขอความยินยอมในการเก็บรวบรวมข้อมูล เพื่อแสดงความโปร่งใสเป็นไปตามกฎหมายบัญญัติ
      3. บริษัทฯ จะขอความยินยอมในการเก็บรวบรวมข้อมูลและเปิดเผยข้อมูลเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะเก็บข้อมูลส่วนบุคคลตามแบบวิธีการที่บริษัทฯตามที่กำหนดเว้นแต่เป็นข้อยกเว้นที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายอื่นกำหนดไว้
      4. บริษัทฯ จะจัดให้มีกลไกการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล และจัดให้มีกลไกแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
      5. กรณีที่บริษัทฯ ส่ง โอนหรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล บริษัทฯ จะจัดทำข้อตกลงให้กับผู้รับหรือใช้ข้อมูลส่วนบุคคลเพื่อกำหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมายเป็นไปตามนโยบายการคุ้มครองข้อมูลของบริษัทฯ
      6. บริษัทฯ จะรักษาความลับของข้อมูลส่วนบุคคลตามมาตรการของบริษัทฯ เพื่อให้เกิดความเป็นธรรมและโปร่งใสให้แก่เจ้าของข้อมูลส่วนบุคคล

4.3 การรองรับการใช้สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล

1. 1. 1. บริษัทฯ จัดให้มีมาตรการ และช่องทางในการรับขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ผ่านช่องทางบริษัทฯ กำหนด
      2. ผู้ควบคุมข้อมูลส่วนบุคคลของบริษัทฯจะพิจารณาดำเนินการตามคำขอไม่เกินสามสิบวันนับตั้งแต่วันที่รับคำขอ
      3. บริษัทฯ จัดให้มีช่องทางในการรับแจ้งเหตุละเมิดข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและพิจารณารวบรวมข้อมูลแจ้งไปยังสำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายในเวลาที่กฎหมายกำหนด รวมถึงแจ้งถึงเหตุหากเกิดการละเมิดข้อมูลส่วนบุคคลและยังหาแนวทางการเยียวยาให้เจ้าของข้อมูลส่วนบุคคล

4.4 การรักษาความมั่นคงความปลอดภัยของข้อมูลส่วนบุคคล

1. 1. 1. เพื่อป้องกันการเข้าถึงข้อมูลหรือบิดเบือนข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตบิดเบือน บริษัทฯ จัดให้มีมาตรการรักษาความปลอดภัยในการรวบรวมการเก็บข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
      2. รวบรวมเก็บข้อมูลส่วนบุคคลเฉพาะข้อมูลที่จำเป็นภายใต้วัตถุประสงค์ในการเก็บรวบรวมข้อมูล และเปิดเผยข้อมูลส่วนบุคคลตามที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคล
      3. บริษัทฯจะประเมินความเสี่ยงและจัดทำมาตรการเพื่อลดผลกระทบที่จะเกิดขึ้นกับการเก็บรวบรวมข้อมูลส่วนบุคคล
      4. จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลได้ เมื่อมีเหตุดังต่อไปนี้

• • • • ระยะเวลาการเก็บข้อมูลส่วนบุคคลมีระยะเวลาสิ้นสุดลงตามที่แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยที่ไม่เกินระยะเวลาที่กฎหมายกำหนด
      • หมดความจำเป็นในการเก็บรวบรวมข้อมูลส่วนบุคคล ในการเปิดเผยข้อมูลส่วนบุคคล ภายใต้วัตถุประสงค์ของบริษัทฯ
      • เจ้าของข้อมูลส่วนบุคคลต้องการถอดถอนข้อมูลส่วนบุคคล และบริษัทฯไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวมข้อมูลส่วนบุคคลนั้นต่อไป
      • ข้อมูลส่วนบุคคลที่รวบรวมมาได้โดยไม่ชอบด้วยกฎหมาย

นโยบายข้อที่ 5 บทบาท หน้าที่ และความรับผิดชอบ

5.1 คณะกรรมการบริษัท มีบทบาทและหน้าที่รับผิดชอบดังต่อไปนี้

1. เลือกตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้เกิดโครงสร้างองค์กรสำหรับการควบคุมดูแลคุ้มครองข้อมูลส่วนบุคคล
2. กำหนดนโยบายและแนวทางการปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล
3. กำกับดูแลและสนับสนุนให้บริษัทฯ นำนโยบายแนวทางปฏิบัติไปปฏิบัติอย่างเป็นรูปธรรมรวมถึงดำเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ

5.2 ผู้บริหาร มีบทบาท หน้าที่ และความรับผิดชอบดังนี้

1. ติดตามหน่วยงานที่ดูแลปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ
2. ส่งเสริมและสนับสนุนให้ความสำคัญของข้อมูลส่วนบุคคลให้แก่พนักงานบริษัทฯ

5.3 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีบทบาท หน้าที่และความรับผิดชอบดังต่อไปนี้

1. จัดให้มีโครงสร้างกำกับดูแลข้อมูลส่วนบุคคลควบคุมระบบภายในที่เกี่ยวข้อง รวมถึงนโยบายการบริหารจัดการเหตุการณ์ที่ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลและหาแนวทางการตอบสนองเหตุการณ์ที่ผิดปกติ เพื่อสามารถวางแผนหาแนวทางการแก้ไขอย่างทันท่วงที
2. ประเมินผลการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ และรายงานผลการประเมินให้คณะกรรมการบริษัททราบเป็นประจำอย่างน้อยปีละ 1 ครั้ง
3. ควบคุมดูแลความเสี่ยงต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลและจัดการแนวทางบริหารความเสี่ยงอย่างเหมาะสม
4. กำหนดมาตรฐานการปฏิบัติงานและแนวทางการปฏิบัติงานและดำเนินงานของบริษัทฯ สอดคล้องกับกฎหมายและเป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ

5.4 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล DPO ( Data Protection Officer ) มีบทบาท หน้าและความรับผิดชอบดังต่อไปนี้

1. ให้แนะนำเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลแก่คนในองค์กร จัดให้มีการสร้างความตระหนักรู้ในเรื่องการจัดการข้อมูลส่วนบุคคลอย่างถูกวิธีให้กับพนักงานในองค์กร
2. คอยตรวจสอบการปฏิบัติและตรวจสอบการดำเนินงานตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
3. ประสานงานกับผู้กำกับดูแล เมื่อเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลจากองค์กร โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะเป็นผู้ประสานงานแจ้งเตือนเกี่ยวกับข้อมูลที่รั่วไหล
4. แจ้งเจ้าของข้อมูลส่วนบุคคลรับทราบถึงวัตถุประสงค์ในการเก็บรวบรวม ไม่ว่าจะก่อนหรือขณะเก็บข้อมูลส่วนบุคคล และสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล
5. ตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะแก้ไขหรือลบข้อมูลส่วนบุคคลตามที่เจ้าของข้อมูลส่วนบุคคลขอ และบันทึกจัดเก็บหลักฐานทางธุรกรรมอย่างครบถ้วน
6. คอยดูแลรับผิดชอบในการจัดเก็บ ดูแลรักษา และป้องกันการเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่บริษัทฯโดยต้องแจ้งให้เจ้าของข้อมูลส่วนตัวให้ทราบและยินยอมตามที่กำหนดในนโยบาย
7. รักษาความลับขององค์กรอันได้มาจากการปฏิบัติหน้าที่

5.5 พนักงานของบริษัทฯ บทบาท หน้าที่และความรับผิดชอบ

1. ทำการปฏิบัติให้สอดคล้องกับนโยบายและแนวทางการปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ
2. รายงานเหตุการณ์ที่ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลที่เกิดจากการไม่ปฏิบัติตามกฎหมาย หรือตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ ให้ผู้บังคับบัญชาในสายงานทราบ

นโยบายข้อที่ 6 โทษของการไม่ปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคล

หากคณะกรรมคณะกรรมการบริษัท ผู้บริหาร คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือพนักงานของบริษัทฯที่ไม่ปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ มีความผิดและถูกลงโทษทางวินัยรวมถึงรับโทษตามที่กฎหมายกำหนด

นโยบายคุ้มครองข้อมูลส่วนบุคคลของ – ฉบับนี้มีผลบังคับใช้ตั้งแต่วันที่ 1 พฤศจิกายน 2565

แนวทางการปฏิบัติของนโยบายข้อมูลส่วนบุคคล

ข้อที่ 1 ข้อกำหนดทั่วไป

1. การป้องกันข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ครอบคลุมถึงข้อมูลส่วนบุคคลของลูกค้าบุคคลธรรมดา
2. หากมีการเปลี่ยนแปลงนโยบายที่มีความสำคัญต่อการปฏิบัติงานตามนโยบายฉบับนี้ หรือมีการเปลี่ยนแปลงใด ๆ จะมีการประกาศให้ทุกท่านทราบผ่านทางเว็บไซต์ของบริษัท
3. บริษัทจะมีการเปิดเผยข้อมูลส่วนบุคคลก็ต่อเมื่อได้รับความยินยอมจากเจ้าของของมูลส่วนบุคคลก่อนเท่านั้น เว้นแต่จะทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ หรือมีฐานกฎหมายรองรับ ดังนี้

• • เพื่อเป็นการปฏิบัติตามสัญญา หรือการจัดทำเอกสารที่มีจุดประสงค์เพื่อประโยชน์ของสาธารณะ
  • เป็นการปฏิบัติตามกฎหมาย
  • เป็นความจำเป็นภายใต้ประโยชน์ผ่านทางกฎหมาย โดยที่ไม่เกินขอบเขตของข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้
  • เพื่อดำเนินการที่เป็นประโยชน์ต่อสาธารณะ
  • เป็นการป้องกันหรือระงับอันตรายต่อชีวิต

4. บริษัทจะดำเนินการลบข้อมูลที่ไม่สามารถระบุตัวตนออกในระยะเวลาที่เกินความจำเป็นต่อการเก็บรวบรวมข้อมูล หรือตามที่เจ้าของข้อมูลนั้นร้องขอ หรือตามที่เจ้าของข้อมูลขอถอนความยินยอมในการเปิดเผยข้อมูล เว้นแต่มีเหตุด้วยกฎหมายที่ทางบริษัทจะต้องทำการเก็บรักษาข้อมูลส่วนบุคคลนั้นต่อไป
5. ทางบริษัทจะดูแลข้อมูลส่วนบุคคลอย่างปลอดภัย รวมถึงความเป็นส่วนตัวของข้อมูลส่วนบุคคล และจะรักษาความลับของข้อมูลส่วนบุคคลเอาไว้เป็นอย่างดี

ข้อที่ 2 การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

1. การขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องมีการดำเนินการอย่างชัดเจน เป็นหนังสือหรือสามารถทำผ่านระบบอิเล็กทรอนิกส์ นอกจากนี้จะต้องมีหลักฐานที่น่าเชื่อถือที่สามารถแสดงได้ว่าเจ้าของให้ความยินยอมในการเก็บข้อมูล
2. จะต้องมีการแจ้งให้กับเจ้าของข้อมูลส่วนบุคคลทราบถึงจุดประสงค์ของการเก็บรวมรวบข้อมูล เพื่อให้สามารถเข้าใจได้ง่าย หรือไม่ทำให้เจ้าของข้อมูลนั้นเข้าใจผิดถึงวัตถุประสงค์ และจะต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลในการให้ความยินยอม
3. กรณีที่เจ้าของข้อมูลเป็นผู้ที่ยังไม่บรรลุนิติภาวะ ให้ขอความยินยอมจากผู้ใช้อำนาจในการปกครองที่มีอำนาจในการกระทำแทนผู้เยาว์
4. กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ ให้ขอความยินยอมจากผู้ที่มีอำนาจในการทำการแทนคนไร้ความสามารถ
5. กรณีเจ้าของข้อมูลเป็นบุคคลเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้ที่มีอำนาจกระทำแทนคนเสมือนไร้ความสามารถ
6. กรณีเจ้าของข้อมูลส่วนบุคคล หรือผู้ที่มีอำนาจตามข้อ 3, 4, 5 หากต้องการถอนความยินยอมตามที่ให้ไว้ ให้ดำเนินการตามที่เจ้าของข้อมูลขอ และหากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลจะต้องแจ้งถึงผลกระทบในเรื่องนั้นให้กับเจ้าของข้อมูลบุคคลทราบ
7. บริษัทจะต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้มีการแจ้งต่อเจ้าของข้อมูลส่วนบุคคลเท่านั้น หากกระทำการที่ผิดตามวัตถุประสงค์ตามที่ได้แจ้งไว้จะไม่ได้สามารถทำได้ นอกจากแจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลทราบและได้รับการยินยอมเรียบร้อยแล้ว

ข้อที่ 3 วัตถุประสงค์การเก็บรวบรวมข้อมูลส่วนบุคคล

1. การเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องมีวัตถุประสงค์เพื่อนำข้อมูลมาใช้ในงานต่าง ๆ ของบริษัท ภายใต้ข้อกฎหมายหรือกฎเกณฑ์ทางการ
2. ในการเก็บรวบรวมข้อมูลส่วนบุคคล จะต้องแจ้งเจ้าของข้อมูลส่วนบุคคลก่อน ตามรายละเอียด ดังนี้

• • วัตถุประสงค์การเก็บรวบรวมเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย
  • ความจำเป็นที่เจ้าของข้อมูลส่วนบุคคลเพื่อเป็นการปฏิบัติตามกฎหมายหรือเพื่อเข้าทำสัญญา และผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
  • ข้อมูลส่วนบุคคลจะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้
  • ประเภทของบุคคลหรือหน่วยงานที่อาจจะได้รับการเปิดเผยข้อมูลส่วนบุคคล รวมถึงรายชื่อของบุคคลหรือหน่วยงาน ตามแต่กรณี
  • สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย
  • ข้อมูลเกี่ยวกับบริษัท และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ

3. ข้อมูลส่วนบุคคลที่เก็บรวบรวมจะต้องถูกต้องครบถ้วนตามที่ได้รับแจ้งจากเจ้าของข้อมูล หากมีข้อผิดพลาดหรือต้องการเปลี่ยนแปลงจะต้องดำเนินการแก้ไขให้ถูกต้องและเป็นปัจจุบัน
4. การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว ให้ขอความยินยอมโดยชัดเจนจากเจ้าของข้อมูลเว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ จะต้องขออนุมัติจากผู้มีอำนาจ
5. การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง จะต้องทำการแจ้งเจ้าของข้อมูลส่วนบุคคลภายใน 30 วัน นับตั้งแต่เก็บรวบรวมข้อมูลส่วนบุคคลโดยขอความยินยอมจากเจ้าของข้อมูลเว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ จะต้องขออนุมัติจากผู้มีอำนาจ
6. การเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องมีการบันทึกรายละเอียดวัตถุประสงค์การเก็บข้อมูลส่วนบุคคล
7. แต่ละประเภทของข้อมูลเกี่ยวกับผู้ควบคุมข้อมูล ระยะเวลาในการจัดเก็บข้อมูล สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล และเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล รวมถึงรายละเอียดอื่น ๆ ตามที่กฎหมายกำหนด เพื่อให้เจ้าของข้อมูลส่วนบุคคลหรือสำนักงานตรวจสอบได้

ข้อที่ 4 การเข้าถึงและการใช้ข้อมูลส่วนบุคคล

1. พนักงานของบริษัทสามารถเข้าถึงหรือใช้ข้อมูลส่วนบุคคลดังกล่าวได้เท่าที่จำเป็นเพื่อเป็นการปฏิบัติงาน และตามสิทธิที่บริษัทเป็นผู้กำหนด หากพนักงานของบริษัทมีความจำเป็นในการปฏิบัติงานที่ต้องเข้าถึงข้อมูลส่วนบุคคลเกินกว่าสิทธิที่บริษัทกำหนดจะต้องขออนุญาตจากผู้มีอำนาจ
2. พนักงานของบริษัทจะต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่เก็บรวบรวมข้อมูล หรือตามที่เจ้าของข้อมูลให้ความยินยอมเท่านั้น เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ
3. ผู้ดูแลระบบงานและเจ้าของงานจะต้องอนุญาตให้กับพนักงานของบริษัทในการเข้าถึงได้เฉพาะพนักงานของบริษัทที่มีสิทธิตามที่กำหนด หรือได้รับการอนุมัติจากผู้มีอำนาจ

ข้อที่ 5 วิธีการได้มา

บริษัทมีการจัดเก็บรวบรวมข้อมูลส่วนตัวด้วยกระบวนการ ดังนี้

• ข้อมูลส่วนบุคคลที่ได้รับจากเจ้าของข้อมูลส่วนบุคคลโดยตรง
• ข้อมูลส่วนบุคคลจากบุคคลที่สาม เช่น ร้านค้า, คู่ค้า และพันธมิตร เป็นต้น
• ข้อมูลส่วนบุคคลที่ได้รับจากการเข้าเยี่ยมชมเว็บไซต์ เช่น ที่อยู่ไอพี
• ผ่านการเข้าใช้งานอินเทอร์เน็ต วันที่ เวลา ของการเข้าชมเว็บไซต์ หน้าเพจที่เข้าชมเว็บไซต์ และที่อยู่ของเว็บไซต์ โดยเชื่อมโยงกับเว็บไซต์ของบริษัทโดยตรง
• ข้อมูลส่วนบุคคลที่ได้รับจากข้อมูลสาธารณะ (Public Records) และที่ไม่ใช่สาธารณะ (Non-Public Records)
• บริษัทมีสิทธิเก็บรวบรวมได้ตามกฎหมาย
• ข้อมูลส่วนบุคคลที่ได้รับจากหน่วยงานภาครัฐ หน่วยงานกำกับดูแลที่ใช้อำนาจตามกฎหมาย

ข้อที่ 6 การเปิดเผยและการรับข้อมูลส่วนบุคคล

1. การเปิดเผยข้อมูลส่วนบุคคลต่อองค์กรภายนอกบริษัทจะต้องได้รับการยินยอมจากเจ้าของข้อมูลส่วนบุคคล และต้องได้รับการอนุมัติจากคณะกรรมการจัดการข้อมูล เว้นแต่เป็นการปฏิบัติตามกฎหมาย ซึ่งจะมีการเปิดเผยข้อมูลต่อบุคคลภายนอกในกรณี ดังนี้

• • ผู้ที่ได้รับอนุญาตให้เป็นคนกลาง ได้แก่ บริษัทขนส่ง
  • คู่ค้า พันธมิตรทางธุรกิจ เพื่อให้บริการในการนำเสนอสิทธิประโยชน์และบริการอื่น ๆ ของบริษัทแก่เจ้าของข้อมูลส่วนบุคคล
  • หน่วยงานรัฐบาล เพื่อเป็นการปฏิบัติตามกฎหมาย คำสั่ง คำขอร้อง
  • เพื่อเป็นการประสานงานกับหน่วยงานต่าง ๆ 

2. การรับข้อมูลส่วนบุคคลจากบุคคลหรือองค์กรภายนอก โดยจะต้องมีการตรวจสอบให้มั่นใจว่าได้ข้อมูลที่มีข้อกฎหมายรองรับ และต้องได้รับอนุมัติจากคณะกรรมการกำกับการจัดการข้อมูล หรือได้รับจากการให้บริการหรือดำเนินงานของบริษัท ดังนี้

• • ข้อมูลที่ได้รับเมื่อการทำการลงทะเบียนหรือกรอกใบสมัครขอเข้าร่วมกิจกรรมต่าง ๆ ของบริษัท
  • ข้อมูลจากการสมัครสมาชิก หรือเข้าร่วมกิจกรรม เพื่อการเข้าใช้บริการในช่องทางการให้บริการของบริษัท
  • ข้อมูลการสมัครรับข่าวสารต่าง ๆ จากการทำแบบสำรวจ หรือข้อมูลจากการร่วมกิจกรรมต่าง ๆ 
  • ข้อมูลเกี่ยวกับการทำธุรกรรมกับบริษัท หรือบริษัทย่อย หรืออื่น ๆ เช่น ข้อมูลการสมัครงาน
  • ข้อมูลจากการเข้าชมเว็บไซต์ ข้อมูลการใช้ Social Media  รุ่นและประเภทของโปรแกรมคอมพิวเตอร์ที่ใช้เปิดเข้าชมเว็บไซต์ ประเภทของอุปกรณ์ที่ใช้เพื่อเข้าถึงการบริการ
  • ข้อมูลจากการบันทึกติดต่อของเจ้าของข้อมูลส่วนบุคคลกับบริษัท ในรูปแบบของบันทึกข้อความของผู้บริการ ประเมินความพึงพอใจ
  • ข้อมูลโปรไฟล์สื่อสังคมออนไลน์ เมื่อมีการใช้ข้อมูลและรหัสการเข้าสู่ระบบของสื่อสังคมออนไลน์ เช่น Facebook และ Line เพื่อเชื่อมต่อหรือเข้าสู่บริการใด ๆ ของบริษัท

3. กรณีที่บริษัทให้บุคคลหรือองค์กรภายนอกบริษัททำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ต้องใช้ผู้ประมวลผลข้อมูลที่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลในการบริหารจัดการผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ และต้องมีข้อตกลงระหว่างกันเพื่อเป็นการควบคุมการดำเนินการของผู้ประมวลผลให้เป็นไปตามกฎหมาย และกำหนดมาตรการป้องกันไม่ให้ผู้ประมวลผลข้อมูลส่วนบุคคลเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับจากบริษัท นอกเหนือจากวัตถุประสงค์หรือคำสั่งที่บริษัทกำหนด

ข้อที่ 7 การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

ในกรณีที่บริษัทมีการโอน ถ่าย และส่งข้อมูลไปยังต่างประเทศ บริษัทจะมีการกำหนดมาตรฐานในการทำข้อตกลงและสัญญาร่วมธุรกิจกับหน่วยงานและองค์กรที่จะได้รับข้อมูลส่วนบุคคลนั้นมีมาตรฐานคุ้มครองข้อมูลบุคคลที่เป็นที่ยอมรับและสอดคล้องกับกฎหมายที่เกี่ยวข้อง เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลนั้นจะได้รับการคุ้มครองอย่างปลอดภัย อาทิ

1. กรณีที่บริษัทมีความจำเป็นในการจัดเก็บ หรือโอนถ่ายข้อมูลเพื่อเป็นการจัดเก็บ
2. การประมวลผลในระบบคลาวด์ (Cloud) ทางบริษัทจะมีการพิจารณาองค์กรที่มีมาตรฐานเพื่อความมั่นคงและปลอดภัยในระดับสากล และจะมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบของการเข้ารหัส หรือวิธีการอื่น ๆ ที่ไม่สามารถระบุถึงตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ เป็นต้น

ข้อที่ 8 การรักษาความมั่นคงปลอดภัยและความลับของข้อมูลส่วนบุคคล

เพื่อให้เจ้าของข้อมูลนั้นมีความมั่นใจในการบริหารจัดการข้อมูลของบริษัทในการป้องกันความเสี่ยงที่อาจจะทำให้ข้อมูลส่วนบุคคลนั้นถูกเข้าถึงโดยมิชอบ รั่วไหล ถูกเปลี่ยนแปลงแก้ไข สูญหาย บริษัทถือปฏิบัติตามนโยบายความมั่นคงปลอดภัยข้อมูลสารสนเทศ รวมทั้งปฏิบัติตามมาตรฐานสากลด้านการรักษาความปลอดภัยสารสนเทศที่เป็นที่ยอมรับและการบริหารความต่อเนื่องทางธุรกิจ และเป็นไปตามที่กฎหมายกำหนด

ข้อที่ 9 สิทธิของเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิ ดังนี้

• สิทธิในการขอรับทราบถึงความมีอยู่ของข้อมูลส่วนบุคคล วัตถุประสงค์ของการนำข้อมูลส่วนบุคคลไปใช้ของบริษัท
• สิทธิในการเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคลของตน โดยบริษัทจะมีขั้นตอนที่เหมาะสมและจะต้องมีการยืนยันตัวตนกับทางบริษัทก่อน
• สิทธิในการขอแก้ไข หรือเปลี่ยนแปลงข้อมูลส่วนบุคคลให้ถูกต้อง เป็นปัจจุบัน หรือมีความสมบูรณ์มากยิ่งขึ้น เพื่อไม่ให้เกิดการเข้าใจผิด
• สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับตน รวมถึงการคัดค้านการประมวลผลของข้อมูลส่วนบุคคล
• สิทธิในการขอระงับ หรือเปิดเผยข้อมูลส่วนบุคคลชั่วคราว
• สิทธิในการให้ดำเนินการลบ หรือทำลายข้อมูลเกี่ยวกับข้อมูลส่วนบุคคล หรือเปลี่ยนให้เป็นข้อมูลส่วนบุคคลที่ไม่สามารถระบุตัวของบุคคลได้
• สิทธิในการเปิดเผยข้อมูลเกี่ยวกับวิธีของการได้ข้อมูลส่วนบุคคลมา ในกรณีที่เจ้าของไม่ได้มีการยินยอมให้เก็บข้อมูลส่วนบุคคล
• สิทธิในการยินยอมให้แก่บริษัทเป็นผู้ใช้ข้อมูล หรือเปิดเผยข้อมูลส่วนบุคคล โดยการถอนความยินยอมจะไม่ส่งผลต่อการเก็บรวบรวม หรือเปิดเผยข้อมูลของผู้ที่ได้ยินยอมแล้ว

บริษัทจะมีการดำเนินการตามที่ท่านร้องขอภายในระยะเวลา 30 วัน นับตั้งแต่วันที่ได้รับคำร้อง ซึ่งบริษัทสามารถปฏิเสธการดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคล การยกเลิกความยินยอมเจ้าของข้อมูลสามารถทำได้ภายใต้ข้อกำหนดของกฎหมายและสัญญาที่ทำไว้กับบริษัทเท่านั้น

ข้อที่ 10 ระยะเวลาจัดเก็บ และสถานที่จัดเก็บข้อมูลส่วนบุคคล

บริษัทจะทำการจัดเก็บข้อมูลตราบเท่าที่จำเป็น โดยจะมีการคำนึงถึงวัตถุประสงค์และความจำเป็นที่จะต้องดำเนินการจัดเก็บข้อมูลและประมวลผล ซึ่งรวมไปถึงการปฏิบัติตามข้อกำหนดของกฎหมายที่ใช้ในการบังคับ ทางบริษัทจะทำการจัดเก็บข้อมูลในส่วนระยะเวลาที่เจ้าของข้อมูลไม่เป็นปฏิสัมพันธ์กับบริษัท โดยบริษัทจะจัดเก็บไว้ในสถานที่จัดเก็บที่เหมาะสมตามประเภทของข้อมูลส่วนบุคคล  ทั้งนี้บริษัท อาจจะต้องเก็บข้อมูลส่วนบุคคลต่อไป แม้จะพ้นกำหนดอายุความตามกฎหมายแล้วก็ตาม

ข้อที่ 11 การใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด

นอกจากวัตถุประสงค์ดังกล่าวข้างต้น และภายใต้ข้อกำหนดของกฎหมาย โดยทางบริษัทจะใช้ข้อมูลเพื่อวัตถุประสงค์ทางการตลาด เช่น การจัดส่งเอกสารเกี่ยวกับโปรโมชั่นผ่านทางไปรษณีย์ อีเมล และด้วยวิธีการอื่นโดยตรง เพื่อเป็นการเพิ่มสิทธิประโยชน์จากการที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากการเป็นลูกค้าของบริษัท ผ่านการแนะนำผลิตภัณฑ์ต่าง ๆ ที่เกิดเกี่ยวข้อง โดยสามารถเลือกที่จะไม่รับการสื่อสารเพื่อวัตถุประสงค์ทางการตลาดจากบริษัท ยกเว้นการติดต่อเรื่องที่เกี่ยวข้องกับเจ้าของข้อมูล เช่น ใบเสร็จรับเงิน เป็นต้น

ข้อที่ 12 คุกกี้ (Cookie)

ทางบริษัทจะมีการใช้คุกกี้ในการเก็บรวบรวมข้อมูลการใช้งานของเจ้าของข้อมูลส่วนบุคคล เพื่อเป็นการเก็บข้อมูล รวบรวมสถิติ วิจัย และวิเคราะห์แนวโน้ม ซึ่งจะนำมาปรับปรุงและควบคุมการทำงานของเว็บไซต์ ทั้งนี้การเก็บคุกกี้นั้นเป็นข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้

ข้อที่ 13 การเชื่อมต่อไปยังเว็บไซต์ภายนอก

เว็บไซต์ของบริษัทจะมีการเชื่อมต่อไปยังเว็บไซต์ของบุคคลที่สาม ซึ่งเว็บไซต์เหล่านั้นอาจจะมีนโยบายคุ้มครองข้อมูลส่วนบุคคลที่แตกต่างจากของทางบริษัท โดยให้เจ้าของข้อมูลส่วนบุคคลทำการศึกษานโยบายจากเว็บไซต์ต่าง ๆ เพื่อให้เข้าใจถึงรายละเอียดการคุ้มครองข้อมูลส่วนบุคคล และเพื่อเป็นการตัดสินใจในการเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้ทางบริษัทจะไม่รับผิดชอบหากเกิดการกระทำต่าง ๆ ที่เกิดจากเว็บไซต์ของบุคคลที่สาม

ข้อที่ 14 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

บริษัทได้มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อเป็นการตรวจสอบเกี่ยวกับการเก็บรวบรวม หรือเปิดเผยข้อมูล เพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และนโยบาย ระเบียบ ประกาศ คำสั่ง ของบริษัท รวมถึงการให้ความร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล

ข้อที่ 15 คำถามเกี่ยวกับนโยบายความเป็นส่วนตัว

หากท่านมีคำถามหรือข้อสงสัย เกี่ยวกับการแถลงนโยบายความเป็นส่วนตัว หรือการจัดการดูแลข้อมูลของท่าน สามารถติดต่อมายังทางบริษัทได้เลยทันที

ข้อที่ 16 ช่องทางการติดต่อ

ชื่อบริษัท : ร้านนรินทร์มอเตอร์

ที่อยู่ : 163-163/1 ถนนเทศบาล 3 ตำบล ในเมือง อำเภอ เมือง จังหวัด สุรินทร์ 32000

เว็บไซต์ : https://www. nrmmotor.com

ศูนย์บริการลูกค้า : 044-511-982 , 044-511-376

ข้อที่ 17 ติดต่อหน่วยงานผู้มีอำนาจ (Appropriate Authority)

หากท่านต้องการรายงานร้องเรียน หรือหากรู้สึกว่าบริษัท ไม่ตอบข้อกังวลของท่านในลักษณะที่น่าพึงพอใจท่านสามารถติดต่อ หรือร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ทาง

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

E-mail : [email protected]

โทร : 02-142-1033