นโยบายการคุ้มครองข้อมูลส่วนบุคคล
นโยบายข้อที่ 1 หลักการและวัตถุประสงค์
ในปัจจุบันเทคโนโลยีมีความก้าวหน้ามากขึ้น รวมถึงระบบสื่อสารทำให้การเก็บรวบรวม การเปิดเผยข้อมูลส่วนบุคคลสามารถทำได้โดยง่าย อาจจะทำให้เกิดความเดือดร้อนหรือนำไปแสวงหาประโยชน์หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมหรือแจ้งล่วงหน้า ร้านนรินทร์มอเตอร์ ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้เจ้าของข้อมูลส่วนบุคคลเชื่อมั่นว่า ร้านนรินทร์มอเตอร์ จะดูแลรักษาข้อมูลส่วนบุคคลโดยจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมอย่างมีประสิทธิภาพ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ร้านนรินทร์มอเตอร์ ได้มีนโยบายคุ้มครองข้อมูลส่วนบุคคล เพื่อชี้แจงรายละเอียดเกี่ยวกับการกำกับดูแล
นโยบายข้อที่ 2 ขอบเขตการบังคับใช้
นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ได้มีการบังคับใช้กับพนักงาน ร้านนรินทร์มอเตอร์ และบุคคลที่เกี่ยวข้องกับการเก็บรวบรวมข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของ ร้านนรินทร์มอเตอร์
นโยบายข้อที่ 3 คำนิยาม
- ข้อมูลส่วนบุคคล ( Personal Data ) หมายถึง ข้อมูลที่เกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะทางตรงหรือทางอ้อม ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
- ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ( Sensitive data ) หมายถึง ข้อมูลส่วนบุคคลที่เกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนาและปรัชญา ประวัติอาชญากรรม ข้อมูลสุขภาพ หรือข้อมูลใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
- เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลธรรมดาที่เป็นเจ้าของข้อมูลส่วนบุคคล
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ข้อมูลหรือเปิดเผยข้อมูลส่วนบุคคล
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเก็บรวบรวมข้อมูล ใช้ข้อมูลหรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยบุคคลหรือนิติบุคคลที่ดำเนินการไม่ได้เป็นผู้ควบคุมข้อมูลส่วนบุคคล
- การประมวลผล (Processing) การรวบรวมการใช้ข้อมูลหรือการเปิดเผยข้อมูลส่วนบุคคล
นโยบายข้อที่ 4 นโยบายและแนวทางปฏิบัติ
4.1 การกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯ จัดให้มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีบทบาท หน้าที่ และความรับผิดชอบตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯและตามกฎหมายที่กำหนด
4.2 การประมวลผลข้อมูลส่วนบุคคล
-
-
- บริษัทฯ จะดำเนินการเก็บรวบรวมข้อมูลและเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์ของบริษัทฯและถูกต้องตามกฎหมาย
- บริษัทฯ จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดวัตถุประสงค์ในการเก็บรวบรวมข้อมูลและเปิดการเปิดเผยข้อมูล สิทธิของเจ้าของข้อมูลเพื่อดำเนินการขอความยินยอมในการเก็บรวบรวมข้อมูล เพื่อแสดงความโปร่งใสเป็นไปตามกฎหมายบัญญัติ
- บริษัทฯ จะขอความยินยอมในการเก็บรวบรวมข้อมูลและเปิดเผยข้อมูลเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะเก็บข้อมูลส่วนบุคคลตามแบบวิธีการที่บริษัทฯตามที่กำหนดเว้นแต่เป็นข้อยกเว้นที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายอื่นกำหนดไว้
- บริษัทฯ จะจัดให้มีกลไกการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล และจัดให้มีกลไกแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
- กรณีที่บริษัทฯ ส่ง โอนหรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล บริษัทฯ จะจัดทำข้อตกลงให้กับผู้รับหรือใช้ข้อมูลส่วนบุคคลเพื่อกำหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมายเป็นไปตามนโยบายการคุ้มครองข้อมูลของบริษัทฯ
- บริษัทฯ จะรักษาความลับของข้อมูลส่วนบุคคลตามมาตรการของบริษัทฯ เพื่อให้เกิดความเป็นธรรมและโปร่งใสให้แก่เจ้าของข้อมูลส่วนบุคคล
-
4.3 การรองรับการใช้สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล
-
-
- บริษัทฯ จัดให้มีมาตรการ และช่องทางในการรับขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ผ่านช่องทางบริษัทฯ กำหนด
- ผู้ควบคุมข้อมูลส่วนบุคคลของบริษัทฯจะพิจารณาดำเนินการตามคำขอไม่เกินสามสิบวันนับตั้งแต่วันที่รับคำขอ
- บริษัทฯ จัดให้มีช่องทางในการรับแจ้งเหตุละเมิดข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและพิจารณารวบรวมข้อมูลแจ้งไปยังสำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายในเวลาที่กฎหมายกำหนด รวมถึงแจ้งถึงเหตุหากเกิดการละเมิดข้อมูลส่วนบุคคลและยังหาแนวทางการเยียวยาให้เจ้าของข้อมูลส่วนบุคคล
-
4.4 การรักษาความมั่นคงความปลอดภัยของข้อมูลส่วนบุคคล
-
-
- เพื่อป้องกันการเข้าถึงข้อมูลหรือบิดเบือนข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตบิดเบือน บริษัทฯ จัดให้มีมาตรการรักษาความปลอดภัยในการรวบรวมการเก็บข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
- รวบรวมเก็บข้อมูลส่วนบุคคลเฉพาะข้อมูลที่จำเป็นภายใต้วัตถุประสงค์ในการเก็บรวบรวมข้อมูล และเปิดเผยข้อมูลส่วนบุคคลตามที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคล
- บริษัทฯจะประเมินความเสี่ยงและจัดทำมาตรการเพื่อลดผลกระทบที่จะเกิดขึ้นกับการเก็บรวบรวมข้อมูลส่วนบุคคล
- จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลได้ เมื่อมีเหตุดังต่อไปนี้
-
-
-
-
- ระยะเวลาการเก็บข้อมูลส่วนบุคคลมีระยะเวลาสิ้นสุดลงตามที่แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยที่ไม่เกินระยะเวลาที่กฎหมายกำหนด
- หมดความจำเป็นในการเก็บรวบรวมข้อมูลส่วนบุคคล ในการเปิดเผยข้อมูลส่วนบุคคล ภายใต้วัตถุประสงค์ของบริษัทฯ
- เจ้าของข้อมูลส่วนบุคคลต้องการถอดถอนข้อมูลส่วนบุคคล และบริษัทฯไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวมข้อมูลส่วนบุคคลนั้นต่อไป
- ข้อมูลส่วนบุคคลที่รวบรวมมาได้โดยไม่ชอบด้วยกฎหมาย
-
-
นโยบายข้อที่ 5 บทบาท หน้าที่ และความรับผิดชอบ
5.1 คณะกรรมการบริษัท มีบทบาทและหน้าที่รับผิดชอบดังต่อไปนี้
- เลือกตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้เกิดโครงสร้างองค์กรสำหรับการควบคุมดูแลคุ้มครองข้อมูลส่วนบุคคล
- กำหนดนโยบายและแนวทางการปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล
- กำกับดูแลและสนับสนุนให้บริษัทฯ นำนโยบายแนวทางปฏิบัติไปปฏิบัติอย่างเป็นรูปธรรมรวมถึงดำเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ
5.2 ผู้บริหาร มีบทบาท หน้าที่ และความรับผิดชอบดังนี้
- ติดตามหน่วยงานที่ดูแลปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ
- ส่งเสริมและสนับสนุนให้ความสำคัญของข้อมูลส่วนบุคคลให้แก่พนักงานบริษัทฯ
5.3 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีบทบาท หน้าที่และความรับผิดชอบดังต่อไปนี้
- จัดให้มีโครงสร้างกำกับดูแลข้อมูลส่วนบุคคลควบคุมระบบภายในที่เกี่ยวข้อง รวมถึงนโยบายการบริหารจัดการเหตุการณ์ที่ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลและหาแนวทางการตอบสนองเหตุการณ์ที่ผิดปกติ เพื่อสามารถวางแผนหาแนวทางการแก้ไขอย่างทันท่วงที
- ประเมินผลการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ และรายงานผลการประเมินให้คณะกรรมการบริษัททราบเป็นประจำอย่างน้อยปีละ 1 ครั้ง
- ควบคุมดูแลความเสี่ยงต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลและจัดการแนวทางบริหารความเสี่ยงอย่างเหมาะสม
- กำหนดมาตรฐานการปฏิบัติงานและแนวทางการปฏิบัติงานและดำเนินงานของบริษัทฯ สอดคล้องกับกฎหมายและเป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ
5.4 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล DPO ( Data Protection Officer ) มีบทบาท หน้าและความรับผิดชอบดังต่อไปนี้
- ให้แนะนำเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลแก่คนในองค์กร จัดให้มีการสร้างความตระหนักรู้ในเรื่องการจัดการข้อมูลส่วนบุคคลอย่างถูกวิธีให้กับพนักงานในองค์กร
- คอยตรวจสอบการปฏิบัติและตรวจสอบการดำเนินงานตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
- ประสานงานกับผู้กำกับดูแล เมื่อเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลจากองค์กร โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะเป็นผู้ประสานงานแจ้งเตือนเกี่ยวกับข้อมูลที่รั่วไหล
- แจ้งเจ้าของข้อมูลส่วนบุคคลรับทราบถึงวัตถุประสงค์ในการเก็บรวบรวม ไม่ว่าจะก่อนหรือขณะเก็บข้อมูลส่วนบุคคล และสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล
- ตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะแก้ไขหรือลบข้อมูลส่วนบุคคลตามที่เจ้าของข้อมูลส่วนบุคคลขอ และบันทึกจัดเก็บหลักฐานทางธุรกรรมอย่างครบถ้วน
- คอยดูแลรับผิดชอบในการจัดเก็บ ดูแลรักษา และป้องกันการเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่บริษัทฯโดยต้องแจ้งให้เจ้าของข้อมูลส่วนตัวให้ทราบและยินยอมตามที่กำหนดในนโยบาย
- รักษาความลับขององค์กรอันได้มาจากการปฏิบัติหน้าที่
5.5 พนักงานของบริษัทฯ บทบาท หน้าที่และความรับผิดชอบ
- ทำการปฏิบัติให้สอดคล้องกับนโยบายและแนวทางการปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ
- รายงานเหตุการณ์ที่ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลที่เกิดจากการไม่ปฏิบัติตามกฎหมาย หรือตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ ให้ผู้บังคับบัญชาในสายงานทราบ
นโยบายข้อที่ 6 โทษของการไม่ปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคล
หากคณะกรรมคณะกรรมการบริษัท ผู้บริหาร คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือพนักงานของบริษัทฯที่ไม่ปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ มีความผิดและถูกลงโทษทางวินัยรวมถึงรับโทษตามที่กฎหมายกำหนด
นโยบายคุ้มครองข้อมูลส่วนบุคคลของ – ฉบับนี้มีผลบังคับใช้ตั้งแต่วันที่ 1 พฤศจิกายน 2565
แนวทางการปฏิบัติของนโยบายข้อมูลส่วนบุคคล
ข้อที่ 1 ข้อกำหนดทั่วไป
- การป้องกันข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ครอบคลุมถึงข้อมูลส่วนบุคคลของลูกค้าบุคคลธรรมดา
- หากมีการเปลี่ยนแปลงนโยบายที่มีความสำคัญต่อการปฏิบัติงานตามนโยบายฉบับนี้ หรือมีการเปลี่ยนแปลงใด ๆ จะมีการประกาศให้ทุกท่านทราบผ่านทางเว็บไซต์ของบริษัท
- บริษัทจะมีการเปิดเผยข้อมูลส่วนบุคคลก็ต่อเมื่อได้รับความยินยอมจากเจ้าของของมูลส่วนบุคคลก่อนเท่านั้น เว้นแต่จะทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ หรือมีฐานกฎหมายรองรับ ดังนี้
-
- เพื่อเป็นการปฏิบัติตามสัญญา หรือการจัดทำเอกสารที่มีจุดประสงค์เพื่อประโยชน์ของสาธารณะ
- เป็นการปฏิบัติตามกฎหมาย
- เป็นความจำเป็นภายใต้ประโยชน์ผ่านทางกฎหมาย โดยที่ไม่เกินขอบเขตของข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้
- เพื่อดำเนินการที่เป็นประโยชน์ต่อสาธารณะ
- เป็นการป้องกันหรือระงับอันตรายต่อชีวิต
- บริษัทจะดำเนินการลบข้อมูลที่ไม่สามารถระบุตัวตนออกในระยะเวลาที่เกินความจำเป็นต่อการเก็บรวบรวมข้อมูล หรือตามที่เจ้าของข้อมูลนั้นร้องขอ หรือตามที่เจ้าของข้อมูลขอถอนความยินยอมในการเปิดเผยข้อมูล เว้นแต่มีเหตุด้วยกฎหมายที่ทางบริษัทจะต้องทำการเก็บรักษาข้อมูลส่วนบุคคลนั้นต่อไป
- ทางบริษัทจะดูแลข้อมูลส่วนบุคคลอย่างปลอดภัย รวมถึงความเป็นส่วนตัวของข้อมูลส่วนบุคคล และจะรักษาความลับของข้อมูลส่วนบุคคลเอาไว้เป็นอย่างดี
ข้อที่ 2 การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
- การขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องมีการดำเนินการอย่างชัดเจน เป็นหนังสือหรือสามารถทำผ่านระบบอิเล็กทรอนิกส์ นอกจากนี้จะต้องมีหลักฐานที่น่าเชื่อถือที่สามารถแสดงได้ว่าเจ้าของให้ความยินยอมในการเก็บข้อมูล
- จะต้องมีการแจ้งให้กับเจ้าของข้อมูลส่วนบุคคลทราบถึงจุดประสงค์ของการเก็บรวมรวบข้อมูล เพื่อให้สามารถเข้าใจได้ง่าย หรือไม่ทำให้เจ้าของข้อมูลนั้นเข้าใจผิดถึงวัตถุประสงค์ และจะต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลในการให้ความยินยอม
- กรณีที่เจ้าของข้อมูลเป็นผู้ที่ยังไม่บรรลุนิติภาวะ ให้ขอความยินยอมจากผู้ใช้อำนาจในการปกครองที่มีอำนาจในการกระทำแทนผู้เยาว์
- กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ ให้ขอความยินยอมจากผู้ที่มีอำนาจในการทำการแทนคนไร้ความสามารถ
- กรณีเจ้าของข้อมูลเป็นบุคคลเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้ที่มีอำนาจกระทำแทนคนเสมือนไร้ความสามารถ
- กรณีเจ้าของข้อมูลส่วนบุคคล หรือผู้ที่มีอำนาจตามข้อ 3, 4, 5 หากต้องการถอนความยินยอมตามที่ให้ไว้ ให้ดำเนินการตามที่เจ้าของข้อมูลขอ และหากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลจะต้องแจ้งถึงผลกระทบในเรื่องนั้นให้กับเจ้าของข้อมูลบุคคลทราบ
- บริษัทจะต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้มีการแจ้งต่อเจ้าของข้อมูลส่วนบุคคลเท่านั้น หากกระทำการที่ผิดตามวัตถุประสงค์ตามที่ได้แจ้งไว้จะไม่ได้สามารถทำได้ นอกจากแจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลทราบและได้รับการยินยอมเรียบร้อยแล้ว
ข้อที่ 3 วัตถุประสงค์การเก็บรวบรวมข้อมูลส่วนบุคคล
- การเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องมีวัตถุประสงค์เพื่อนำข้อมูลมาใช้ในงานต่าง ๆ ของบริษัท ภายใต้ข้อกฎหมายหรือกฎเกณฑ์ทางการ
- ในการเก็บรวบรวมข้อมูลส่วนบุคคล จะต้องแจ้งเจ้าของข้อมูลส่วนบุคคลก่อน ตามรายละเอียด ดังนี้
-
- วัตถุประสงค์การเก็บรวบรวมเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย
- ความจำเป็นที่เจ้าของข้อมูลส่วนบุคคลเพื่อเป็นการปฏิบัติตามกฎหมายหรือเพื่อเข้าทำสัญญา และผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
- ข้อมูลส่วนบุคคลจะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้
- ประเภทของบุคคลหรือหน่วยงานที่อาจจะได้รับการเปิดเผยข้อมูลส่วนบุคคล รวมถึงรายชื่อของบุคคลหรือหน่วยงาน ตามแต่กรณี
- สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย
- ข้อมูลเกี่ยวกับบริษัท และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ
- ข้อมูลส่วนบุคคลที่เก็บรวบรวมจะต้องถูกต้องครบถ้วนตามที่ได้รับแจ้งจากเจ้าของข้อมูล หากมีข้อผิดพลาดหรือต้องการเปลี่ยนแปลงจะต้องดำเนินการแก้ไขให้ถูกต้องและเป็นปัจจุบัน
- การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว ให้ขอความยินยอมโดยชัดเจนจากเจ้าของข้อมูลเว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ จะต้องขออนุมัติจากผู้มีอำนาจ
- การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง จะต้องทำการแจ้งเจ้าของข้อมูลส่วนบุคคลภายใน 30 วัน นับตั้งแต่เก็บรวบรวมข้อมูลส่วนบุคคลโดยขอความยินยอมจากเจ้าของข้อมูลเว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ จะต้องขออนุมัติจากผู้มีอำนาจ
- การเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องมีการบันทึกรายละเอียดวัตถุประสงค์การเก็บข้อมูลส่วนบุคคล
- แต่ละประเภทของข้อมูลเกี่ยวกับผู้ควบคุมข้อมูล ระยะเวลาในการจัดเก็บข้อมูล สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล และเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล รวมถึงรายละเอียดอื่น ๆ ตามที่กฎหมายกำหนด เพื่อให้เจ้าของข้อมูลส่วนบุคคลหรือสำนักงานตรวจสอบได้
ข้อที่ 4 การเข้าถึงและการใช้ข้อมูลส่วนบุคคล
- พนักงานของบริษัทสามารถเข้าถึงหรือใช้ข้อมูลส่วนบุคคลดังกล่าวได้เท่าที่จำเป็นเพื่อเป็นการปฏิบัติงาน และตามสิทธิที่บริษัทเป็นผู้กำหนด หากพนักงานของบริษัทมีความจำเป็นในการปฏิบัติงานที่ต้องเข้าถึงข้อมูลส่วนบุคคลเกินกว่าสิทธิที่บริษัทกำหนดจะต้องขออนุญาตจากผู้มีอำนาจ
- พนักงานของบริษัทจะต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่เก็บรวบรวมข้อมูล หรือตามที่เจ้าของข้อมูลให้ความยินยอมเท่านั้น เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ
- ผู้ดูแลระบบงานและเจ้าของงานจะต้องอนุญาตให้กับพนักงานของบริษัทในการเข้าถึงได้เฉพาะพนักงานของบริษัทที่มีสิทธิตามที่กำหนด หรือได้รับการอนุมัติจากผู้มีอำนาจ
ข้อที่ 5 วิธีการได้มา
บริษัทมีการจัดเก็บรวบรวมข้อมูลส่วนตัวด้วยกระบวนการ ดังนี้
- ข้อมูลส่วนบุคคลที่ได้รับจากเจ้าของข้อมูลส่วนบุคคลโดยตรง
- ข้อมูลส่วนบุคคลจากบุคคลที่สาม เช่น ร้านค้า, คู่ค้า และพันธมิตร เป็นต้น
- ข้อมูลส่วนบุคคลที่ได้รับจากการเข้าเยี่ยมชมเว็บไซต์ เช่น ที่อยู่ไอพี
- ผ่านการเข้าใช้งานอินเทอร์เน็ต วันที่ เวลา ของการเข้าชมเว็บไซต์ หน้าเพจที่เข้าชมเว็บไซต์ และที่อยู่ของเว็บไซต์ โดยเชื่อมโยงกับเว็บไซต์ของบริษัทโดยตรง
- ข้อมูลส่วนบุคคลที่ได้รับจากข้อมูลสาธารณะ (Public Records) และที่ไม่ใช่สาธารณะ (Non-Public Records)
- บริษัทมีสิทธิเก็บรวบรวมได้ตามกฎหมาย
- ข้อมูลส่วนบุคคลที่ได้รับจากหน่วยงานภาครัฐ หน่วยงานกำกับดูแลที่ใช้อำนาจตามกฎหมาย
ข้อที่ 6 การเปิดเผยและการรับข้อมูลส่วนบุคคล
- การเปิดเผยข้อมูลส่วนบุคคลต่อองค์กรภายนอกบริษัทจะต้องได้รับการยินยอมจากเจ้าของข้อมูลส่วนบุคคล และต้องได้รับการอนุมัติจากคณะกรรมการจัดการข้อมูล เว้นแต่เป็นการปฏิบัติตามกฎหมาย ซึ่งจะมีการเปิดเผยข้อมูลต่อบุคคลภายนอกในกรณี ดังนี้
-
- ผู้ที่ได้รับอนุญาตให้เป็นคนกลาง ได้แก่ บริษัทขนส่ง
- คู่ค้า พันธมิตรทางธุรกิจ เพื่อให้บริการในการนำเสนอสิทธิประโยชน์และบริการอื่น ๆ ของบริษัทแก่เจ้าของข้อมูลส่วนบุคคล
- หน่วยงานรัฐบาล เพื่อเป็นการปฏิบัติตามกฎหมาย คำสั่ง คำขอร้อง
- เพื่อเป็นการประสานงานกับหน่วยงานต่าง ๆ
- การรับข้อมูลส่วนบุคคลจากบุคคลหรือองค์กรภายนอก โดยจะต้องมีการตรวจสอบให้มั่นใจว่าได้ข้อมูลที่มีข้อกฎหมายรองรับ และต้องได้รับอนุมัติจากคณะกรรมการกำกับการจัดการข้อมูล หรือได้รับจากการให้บริการหรือดำเนินงานของบริษัท ดังนี้
-
- ข้อมูลที่ได้รับเมื่อการทำการลงทะเบียนหรือกรอกใบสมัครขอเข้าร่วมกิจกรรมต่าง ๆ ของบริษัท
- ข้อมูลจากการสมัครสมาชิก หรือเข้าร่วมกิจกรรม เพื่อการเข้าใช้บริการในช่องทางการให้บริการของบริษัท
- ข้อมูลการสมัครรับข่าวสารต่าง ๆ จากการทำแบบสำรวจ หรือข้อมูลจากการร่วมกิจกรรมต่าง ๆ
- ข้อมูลเกี่ยวกับการทำธุรกรรมกับบริษัท หรือบริษัทย่อย หรืออื่น ๆ เช่น ข้อมูลการสมัครงาน
- ข้อมูลจากการเข้าชมเว็บไซต์ ข้อมูลการใช้ Social Media รุ่นและประเภทของโปรแกรมคอมพิวเตอร์ที่ใช้เปิดเข้าชมเว็บไซต์ ประเภทของอุปกรณ์ที่ใช้เพื่อเข้าถึงการบริการ
- ข้อมูลจากการบันทึกติดต่อของเจ้าของข้อมูลส่วนบุคคลกับบริษัท ในรูปแบบของบันทึกข้อความของผู้บริการ ประเมินความพึงพอใจ
- ข้อมูลโปรไฟล์สื่อสังคมออนไลน์ เมื่อมีการใช้ข้อมูลและรหัสการเข้าสู่ระบบของสื่อสังคมออนไลน์ เช่น Facebook และ Line เพื่อเชื่อมต่อหรือเข้าสู่บริการใด ๆ ของบริษัท
- กรณีที่บริษัทให้บุคคลหรือองค์กรภายนอกบริษัททำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ต้องใช้ผู้ประมวลผลข้อมูลที่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลในการบริหารจัดการผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ และต้องมีข้อตกลงระหว่างกันเพื่อเป็นการควบคุมการดำเนินการของผู้ประมวลผลให้เป็นไปตามกฎหมาย และกำหนดมาตรการป้องกันไม่ให้ผู้ประมวลผลข้อมูลส่วนบุคคลเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับจากบริษัท นอกเหนือจากวัตถุประสงค์หรือคำสั่งที่บริษัทกำหนด
ข้อที่ 7 การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
ในกรณีที่บริษัทมีการโอน ถ่าย และส่งข้อมูลไปยังต่างประเทศ บริษัทจะมีการกำหนดมาตรฐานในการทำข้อตกลงและสัญญาร่วมธุรกิจกับหน่วยงานและองค์กรที่จะได้รับข้อมูลส่วนบุคคลนั้นมีมาตรฐานคุ้มครองข้อมูลบุคคลที่เป็นที่ยอมรับและสอดคล้องกับกฎหมายที่เกี่ยวข้อง เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลนั้นจะได้รับการคุ้มครองอย่างปลอดภัย อาทิ
- กรณีที่บริษัทมีความจำเป็นในการจัดเก็บ หรือโอนถ่ายข้อมูลเพื่อเป็นการจัดเก็บ
- การประมวลผลในระบบคลาวด์ (Cloud) ทางบริษัทจะมีการพิจารณาองค์กรที่มีมาตรฐานเพื่อความมั่นคงและปลอดภัยในระดับสากล และจะมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบของการเข้ารหัส หรือวิธีการอื่น ๆ ที่ไม่สามารถระบุถึงตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ เป็นต้น
ข้อที่ 8 การรักษาความมั่นคงปลอดภัยและความลับของข้อมูลส่วนบุคคล
เพื่อให้เจ้าของข้อมูลนั้นมีความมั่นใจในการบริหารจัดการข้อมูลของบริษัทในการป้องกันความเสี่ยงที่อาจจะทำให้ข้อมูลส่วนบุคคลนั้นถูกเข้าถึงโดยมิชอบ รั่วไหล ถูกเปลี่ยนแปลงแก้ไข สูญหาย บริษัทถือปฏิบัติตามนโยบายความมั่นคงปลอดภัยข้อมูลสารสนเทศ รวมทั้งปฏิบัติตามมาตรฐานสากลด้านการรักษาความปลอดภัยสารสนเทศที่เป็นที่ยอมรับและการบริหารความต่อเนื่องทางธุรกิจ และเป็นไปตามที่กฎหมายกำหนด
ข้อที่ 9 สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิ ดังนี้
- สิทธิในการขอรับทราบถึงความมีอยู่ของข้อมูลส่วนบุคคล วัตถุประสงค์ของการนำข้อมูลส่วนบุคคลไปใช้ของบริษัท
- สิทธิในการเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคลของตน โดยบริษัทจะมีขั้นตอนที่เหมาะสมและจะต้องมีการยืนยันตัวตนกับทางบริษัทก่อน
- สิทธิในการขอแก้ไข หรือเปลี่ยนแปลงข้อมูลส่วนบุคคลให้ถูกต้อง เป็นปัจจุบัน หรือมีความสมบูรณ์มากยิ่งขึ้น เพื่อไม่ให้เกิดการเข้าใจผิด
- สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับตน รวมถึงการคัดค้านการประมวลผลของข้อมูลส่วนบุคคล
- สิทธิในการขอระงับ หรือเปิดเผยข้อมูลส่วนบุคคลชั่วคราว
- สิทธิในการให้ดำเนินการลบ หรือทำลายข้อมูลเกี่ยวกับข้อมูลส่วนบุคคล หรือเปลี่ยนให้เป็นข้อมูลส่วนบุคคลที่ไม่สามารถระบุตัวของบุคคลได้
- สิทธิในการเปิดเผยข้อมูลเกี่ยวกับวิธีของการได้ข้อมูลส่วนบุคคลมา ในกรณีที่เจ้าของไม่ได้มีการยินยอมให้เก็บข้อมูลส่วนบุคคล
- สิทธิในการยินยอมให้แก่บริษัทเป็นผู้ใช้ข้อมูล หรือเปิดเผยข้อมูลส่วนบุคคล โดยการถอนความยินยอมจะไม่ส่งผลต่อการเก็บรวบรวม หรือเปิดเผยข้อมูลของผู้ที่ได้ยินยอมแล้ว
บริษัทจะมีการดำเนินการตามที่ท่านร้องขอภายในระยะเวลา 30 วัน นับตั้งแต่วันที่ได้รับคำร้อง ซึ่งบริษัทสามารถปฏิเสธการดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคล การยกเลิกความยินยอมเจ้าของข้อมูลสามารถทำได้ภายใต้ข้อกำหนดของกฎหมายและสัญญาที่ทำไว้กับบริษัทเท่านั้น
ข้อที่ 10 ระยะเวลาจัดเก็บ และสถานที่จัดเก็บข้อมูลส่วนบุคคล
บริษัทจะทำการจัดเก็บข้อมูลตราบเท่าที่จำเป็น โดยจะมีการคำนึงถึงวัตถุประสงค์และความจำเป็นที่จะต้องดำเนินการจัดเก็บข้อมูลและประมวลผล ซึ่งรวมไปถึงการปฏิบัติตามข้อกำหนดของกฎหมายที่ใช้ในการบังคับ ทางบริษัทจะทำการจัดเก็บข้อมูลในส่วนระยะเวลาที่เจ้าของข้อมูลไม่เป็นปฏิสัมพันธ์กับบริษัท โดยบริษัทจะจัดเก็บไว้ในสถานที่จัดเก็บที่เหมาะสมตามประเภทของข้อมูลส่วนบุคคล ทั้งนี้บริษัท อาจจะต้องเก็บข้อมูลส่วนบุคคลต่อไป แม้จะพ้นกำหนดอายุความตามกฎหมายแล้วก็ตาม
ข้อที่ 11 การใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด
นอกจากวัตถุประสงค์ดังกล่าวข้างต้น และภายใต้ข้อกำหนดของกฎหมาย โดยทางบริษัทจะใช้ข้อมูลเพื่อวัตถุประสงค์ทางการตลาด เช่น การจัดส่งเอกสารเกี่ยวกับโปรโมชั่นผ่านทางไปรษณีย์ อีเมล และด้วยวิธีการอื่นโดยตรง เพื่อเป็นการเพิ่มสิทธิประโยชน์จากการที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากการเป็นลูกค้าของบริษัท ผ่านการแนะนำผลิตภัณฑ์ต่าง ๆ ที่เกิดเกี่ยวข้อง โดยสามารถเลือกที่จะไม่รับการสื่อสารเพื่อวัตถุประสงค์ทางการตลาดจากบริษัท ยกเว้นการติดต่อเรื่องที่เกี่ยวข้องกับเจ้าของข้อมูล เช่น ใบเสร็จรับเงิน เป็นต้น
ข้อที่ 12 คุกกี้ (Cookie)
ทางบริษัทจะมีการใช้คุกกี้ในการเก็บรวบรวมข้อมูลการใช้งานของเจ้าของข้อมูลส่วนบุคคล เพื่อเป็นการเก็บข้อมูล รวบรวมสถิติ วิจัย และวิเคราะห์แนวโน้ม ซึ่งจะนำมาปรับปรุงและควบคุมการทำงานของเว็บไซต์ ทั้งนี้การเก็บคุกกี้นั้นเป็นข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้
ข้อที่ 13 การเชื่อมต่อไปยังเว็บไซต์ภายนอก
เว็บไซต์ของบริษัทจะมีการเชื่อมต่อไปยังเว็บไซต์ของบุคคลที่สาม ซึ่งเว็บไซต์เหล่านั้นอาจจะมีนโยบายคุ้มครองข้อมูลส่วนบุคคลที่แตกต่างจากของทางบริษัท โดยให้เจ้าของข้อมูลส่วนบุคคลทำการศึกษานโยบายจากเว็บไซต์ต่าง ๆ เพื่อให้เข้าใจถึงรายละเอียดการคุ้มครองข้อมูลส่วนบุคคล และเพื่อเป็นการตัดสินใจในการเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้ทางบริษัทจะไม่รับผิดชอบหากเกิดการกระทำต่าง ๆ ที่เกิดจากเว็บไซต์ของบุคคลที่สาม
ข้อที่ 14 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
บริษัทได้มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อเป็นการตรวจสอบเกี่ยวกับการเก็บรวบรวม หรือเปิดเผยข้อมูล เพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และนโยบาย ระเบียบ ประกาศ คำสั่ง ของบริษัท รวมถึงการให้ความร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล
ข้อที่ 15 คำถามเกี่ยวกับนโยบายความเป็นส่วนตัว
หากท่านมีคำถามหรือข้อสงสัย เกี่ยวกับการแถลงนโยบายความเป็นส่วนตัว หรือการจัดการดูแลข้อมูลของท่าน สามารถติดต่อมายังทางบริษัทได้เลยทันที
ข้อที่ 16 ช่องทางการติดต่อ
ชื่อบริษัท : ร้านนรินทร์มอเตอร์
ที่อยู่ : 163-163/1 ถนนเทศบาล 3 ตำบล ในเมือง อำเภอ เมือง จังหวัด สุรินทร์ 32000
เว็บไซต์ : https://www. nrmmotor.com
ศูนย์บริการลูกค้า : 044-511-982 , 044-511-376
ข้อที่ 17 ติดต่อหน่วยงานผู้มีอำนาจ (Appropriate Authority)
หากท่านต้องการรายงานร้องเรียน หรือหากรู้สึกว่าบริษัท ไม่ตอบข้อกังวลของท่านในลักษณะที่น่าพึงพอใจท่านสามารถติดต่อ หรือร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ทาง
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
E-mail : [email protected]
โทร : 02-142-1033