1. หลักการและเหตุผล
ด้วยความก้าวหน้าของเทคโนโลยีสารสนเทศ รวมทั้งระบบสื่อสารได้พัฒนาไปอย่างรวดเร็ว ทำให้การเข้าถึงการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล สามารถทำได้โดยง่าย สะดวก และรวดเร็ว อันอาจนำมาซึ่งความเสียหายต่อเจ้าของข้อมูล ประกอบกับได้มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้ตั้งแต่
1 มิ.ย. 2565 เป็นต้นไป จึงประกาศเพื่อเป็นหลักในการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ดังนี้
2. วัตถุประสงค์
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ จัดทำขึ้นโดยมีวัตถุประสงค์ ดังต่อไปนี้
2.1 เพื่อคุ้มครองข้อมูลส่วนของเจ้าของข้อมูลส่วนบุคคล ซึ่งเป็นบุคคลธรรมดาซึ่งทำธุรกรรมใช้บริการมีส่วนได้ส่วนเสีย หรือมีส่วนเกี่ยวข้องกับบริษัทฯ
2.2 เพื่อกำหนดบทบาทหน้าที่ของหน่วยงาน ผู้บริหาร พนักงาน ซึ่งมีส่วนเกี่ยวข้อกับข้อมูลส่วนบุคคล
2.3 เพื่อกำหนดขั้นตอนหรือมาตรการรักษาความปลอดภัยในการคุ้มครองข้อมูลส่วนบุคคล
2.4 เพื่อกำหนดแนวทางในการปฏิบัติงานของพนักงานซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล
2.5 เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลต่อเจ้าของข้อมูลส่วนบุคคล
3. ขอบเขตการใช้
ให้ประกาศฉบับนี้มีผลใช้บังคับกับผู้บริหาร และพนักงานทุกระดับของบริษัทเคจีเอส ไบโอเทค จำกัดและบริษัทย่อย รวมถึงคู่ค้า ผู้ให้บริการ และผู้มีส่วนได้เสียกับบริษัทฯ โดยใช้บังคับกับทุกกิจกรรมการดำเนินงานของบริษัทฯที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
4. คำนิยาม
“บริษัทฯ” หมายความว่า บริษัทเคจีเอส ไบโอเทค และบริษัทย่อยที่เกี่ยวข้องโดยมีเจ้าของเดียวกัน
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายความว่า ข้อมูลส่วนบุคคลทที่มีความเสี่ยงอาจถูกนำไปสู่การเลือกปฏิบัติอย่างไม่เป็นธรรม (Sensitive Data) ในที่นี้หมายถึง เชื้อชาติ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรืออื่นๆ ตามที่กฎหมายกำหนด
“เจ้าของข้อมูลส่วนบุคคล” หมายความว่า บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล เป็นต้นว่า ลูกค้า คู่ค้า ผู้ใช้บริการ และพนักงาน
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลในที่นี้หมายถึงบริษัทหน่วยงานพนักงานที่รับผิดชอบในข้อมูลส่วนบุคคลนั้น
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ในที่นี้หมายถึง คู่ค้า บุคคลหรือบริษัทภายนอกที่บริษัทฯได้ว่าจ้าง
“บุคคล” หมายความว่า บุคคลธรรมดา
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายความว่า บุคคลซึ่งบริษัทฯแต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูล
(Data Protection Officer: DPO) ส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“ผู้ประสานงานข้อมูลส่วนบุคคล” หมายความว่า บุคคลซึ่งถูกกำหนดหรือได้รับมอบหมายตามนโยบายฉบับนี้
(Data Protection Coordinator: DPC)
5. การคุ้มครองข้อมูลส่วนบุคคล
5.1 การเก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทำได้ภายใต้วัตถุประสงค์และเท่าที่จำเป็นตามกรอบวัตถุประสงค์หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวมรวม ถึงรายละเอียดดังต่อไปนี้
1) วัตถุประสงค์ของการเก็บรวบรวม
2) ระยะเวลาในการเก็บรวบรวมไว้
3) ประเภทของบุคคลหรือหน่วยงานซึ่งอาจมีการเปิดเผยข้อมูลส่วนบุคคล
4) ข้อมูลหรือช่องทางการติดต่อกับบริษัทฯ
5) สิทธิของเจ้าของข้อมูลส่วนบุคคล
6) แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด หรือเพื่อเข้าทำหรือปฏิบัติตามสัญญา
ทั้งนี้เว้นแต่ในกรณีดังต่อไปนี้ ไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ก) เพื่อประโยชน์สาธารณะ การศึกษาวิจัย การสถิติ หรือการปฏิบัติตามกฎหมาย
ข) เป็นการดำเนินการเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล
ค) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
ง) เป็นความจำเป็นตามหน้าที่ในการดำเนินการเพื่อประโยชน์สาธารณะหรือในการปฏิบัติหน้าที่ตามที่ได้รับมอบหมายจากภาครัฐ หรือเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งประโยชน์โดยชอบด้วยกฎหมายนั้นมีความสำคัญมากกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล5.2 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)
บริษัทฯจะเก็บรวบรวมข้อมูลที่มีความอ่อนไหวตามความจำเป็น โดยต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ยกเว้นในกรณีที่กฎหมายกำหนดให้สามารถเก็บรวบรวมได้โดยไม่ต้องขอความยินยอม
5.3 การใช้และ/หรือการเปิดเผยข้อมูลส่วนบุคคล
การใช้และ/หรือการเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามวัตถุประงสค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะทำการเก็บรวบรวมหรือเป็นความจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายกำหนดให้ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมาย
บุคคลหรือนิติบุคคลอื่น ซึงได้รับข้อมูลส่วนบุคคลจากการที่เจ้าของข้อมูลส่วนบุคคลตกลงยินยอมให้เปิดเผยหรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ของเจ้าของข้อมูลส่วนบุคคลได้ตกลงยินยอมให้ไว้กับบริษัทฯและตามที่บุคคลหรือนิติบุคคลนั้นได้แจ้งไว้กับบริษัทฯ เท่านั้น
6. คุณภาพของข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น ต้องถูกต้องเป็นปัจจุบัน สมบูรณ์ไม่ก่อให้เกิดความเข้าใจผิด และต้องดำเนินการจัดให้มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลสามารถร้องขอหรือแก้ไขข้อมูลส่วนบุคคลของตัวเองได้
7. บทบาทหน้าที่และความรับผิดชอบ
บริษัทฯ กำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องให้ความสำคัญและรับผิดชอบการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ อย่างเคร่งครัด โดยกำหนดให้บุคคลหรือหน่วยงานดังต่อไปนี้ ทำหน้าที่กำกับและตรวจสอบให้การดำเนินงานของบริษัทฯนั้นถูกต้องและเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
7.1 ผู้ควบคุมข้อมูลส่วนบุคคล
7.1.1 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมและทบทวนมาตรการอย่างสม่ำเสมอ เพื่อให้มาตรการดังกล่าวมีประสิทธิภาพ ทันต่อเทคโนโลยีที่เปลี่ยนแปลงไป
7.1.2 กำหนดขอบเขตการจัดการกับข้อมูลส่วนบุคคลที่ได้เปิดเผยต่อบุคคลหรือนิติบุคคลอื่น
7.1.3 จัดให้มีระบบตรวจสอบการจัดการกับข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด
7.1.4 บันทึกรายการเกี่ยวกับข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
7.1.5 จัดทำข้อตกลงกับผู้ประมวลผลข้อมูลส่วนบุคคลนิติบุคคลหรือบุคคลภายนอกอื่นใด หากมีการเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคลที่ได้ว่าจ้างนิติบุคคลหรือบุคคลภายนอกอื่นใด โดยผู้ประมวลผลข้อมูล นิติบุคคล หรือบุคคลภายนอกดังกล่าว ต้องมีมาตรการรักษาความปลอดภัยในการเก็บรวบรวมใช้และ/หรือเปิดเผยข้อมูลส่วนบุคคล ต้องเป็นไปตามนโยบายฉบับนี้ และตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
7.2 ผู้ประมวลข้อมูลส่วนบุคคล
7.2.1 ดำเนินการเกี่ยวกับการเก็บรวบรวม ใข้และ/หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจาก
ผู้ควบคุมข้อมูลส่วนบุคคล
7.2.2 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม
7.2.3 จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้
7.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)
7.3.1 จัดทำและทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล รวมถึงแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯให้ครบถ้วนและถูกต้องตามที่กฎหมายกำหนด
7.3.2 ให้คำแนะนำในด้านต่างๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่ผู้บริหาร พนักงาน และ
คู่ค้าของบริษัทฯ
7.3.3 ตรวจตราการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล
7.3.4 กำกับดูแลหน่วยงานต่างๆ ของบริษัทฯ บริษัทย่อย และคู่ค้าของบริษัทฯให้ดำเนินงานตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ
7.3.5 รายงานการปฏิบัติหน่วยงานต่างๆ ของบริษัทฯ บริษัทย่อย และคู่ค้าของบริษัทฯต่อคณะเจ้าหน้าที่บริหาร
7.3.6 ประสานจัดการเรื่องร้องเรียนหรือการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลที่ได้รับการติดต่อหรือร้องขอจากเจ้าของข้อมูลส่วนบุคคล
7.3.7 ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ บริษัทย่อยและคู่ค้าของบริษัทฯ
7.3.8 แจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถทำได้
8. การรักษาความมั่นคงปลอดภัย
เพื่อประโยชน์ในการรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคล บริษัทฯได้มีมาตรการ ดังนี้
8.1 กำหนดสิทธิในการเข้าถึงการใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล รวมถึงการแสดงหรือยืนยันตัวบุคคล ผู้เข้าถึงหรือใช้ข้อมูลส่วนบุคคล จัดให้มีมาตรการรักษาความปลอดภัย รวมถึงกระบวนการทบทวนและประเมินประสิทธิภาพของมาตรการรักษาความปลอดภัยดังกล่าว
8.2 ในกรณีที่มีการฝ่าฝืน จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคล บริษัทฯจะดำเนินการตามนโยบายการละเมิดและข้อมูลรั่วไหล(Data Breach Handling Policy) และตามที่กฎหมายกำหนด หากการละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า ทั้งนี้บริษัทฯจะไม่รับผิดชอบในกรณีความเสียหายใดๆอันเกิดจากการที่เจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่นใดซึ่งได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล จงใจหรือประมาทเลินเล่อ หรือเพิกเฉยต่อมาตรการรักษาความปลอดภัย จนเป็นเหตุให้ข้อมูลส่วนบุคคลถูกใช้หรือเปิดเผยต่อบุคคลที่สามหรือบุคคลอื่นใด
9. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอเข้าถึงข้อมูลส่วนบุคคลของตน ขอรับสำเนา ขอถอนความยินยอม คัดค้านการเก็บ การใช้ การเปิดเผย ขอให้ลบทำลายหรือพักการใช้ ขอแก้ไขข้อมูลให้เป็นปัจจุบัน ร้องเรียน หรือขอให้โอนข้อมูลส่วนบุคคลของตนไปยังผู้ควบคุมข้อมูลอื่น เว้นแต่เป็นการกระทบต่อสิทธิเสรีภาพของบุคคลอื่น เป็นการปฏิบัติหน้าที่เพื่อสาธารณะประโยชน์หรือตามกฎหมาย หรือเพื่อการศึกษาวิจัย ทั้งนี้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
10. การร้องเรียน การแจ้งเบาะแส
กรณีพบเหตุอันควรสงสัยหรือเชื่อว่ามีการละเมิดการเก็บรวบรวมใช้และ/หรือการเปิดเผยข้อมูลส่วนบุคคล หรือเจ้าของข้อมูลส่วนบุคคลประสงค์ที่จะร้องเรียนหรือใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ หรือตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 สามารถติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูส่วนบุคคลของบริษัทฯ ตามข้อมูลติดต่อด้านล่างนี้
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
บริษัท เคจีเอส ไบโอเทค จำกัด
เลขที่ 25/25 หมู่12 ต.บึงคำพร้อย อ.ลำลูกกา จ.ปทุมธานี 12150
เบอร์โทรศัพท์ 02-152-7273-5 ต่อ 24
ประกาศ ณ วันที่ 31 พฤษภาคม 2565 และให้มีผลตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป