บริษัท เทโลเนียร์ จำกัด มีความมุ่งมั่นที่จะดำเนินการตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้สอดคล้องกับหลักเกณฑ์ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้มีหลักเกณฑ์การคุ้มครองสิทธิของเจ้าของข้อมูลเกี่ยวกับข้อมูลส่วนบุคคล สิทธิในความเป็นส่วนตัวและเสรีภาพในข้อมูลส่วนบุคคลของผู้เจ้าของข้อมูล และพัฒนาปรับปรุงนโยบาย ระเบียบปฏิบัติของบริษัทให้ต่อเนื่องสืบไป เพื่อให้เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล บริษัทจึงขอประกาศนโยบาย ดังนี้
1. คำนิยาม
“บริษัท” หมายถึง บริษัท เทโลเนียร์ จำกัด
“บุคคล” ในที่นี้หมายถึง บุคคลธรรมดาที่มีชีวิตอยู่ ไม่รวมถึง “นิติบุคคล” ที่จัดตั้งขึ้นตามกฎหมาย
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลใดๆที่ระบุไปถึง “เจ้าของข้อมูล” (Data Subject) ได้ไม่ว่าทางตรงหรือทางอ้อม อาทิ ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ เลขประจำตัวประชาชน เลขหนังสือเดินทาง เป็นต้น
ทั้งนี้ ไม่รวมถึงข้อมูลดังต่อไปนี้ เช่น ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล อาทิ ชื่อบริษัท ที่อยู่ของบริษัท เลขทะเบียนนิติบุคคลของบริษัท เช่น info@company.co.th เป็นต้น
“ข้อมูลส่วนบุคคลอ่อนไหว” หมายถึง ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อน และอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ เป็นต้น
“เจ้าของข้อมูลส่วนบุคคล” (Data Subject) หมายถึง บุคคลที่ข้อมูลส่วนบุคคลนั้นระบุไปถึง ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น แต่ไม่ใช่กรณีที่บุคคลมีความเป็นเจ้าของข้อมูล (Ownership) หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง โดยเจ้าของข้อมูลส่วนบุคคลนี้จะหมายถึงบุคคลธรรมดาเท่านั้น และไม่รวมถึง
“นิติบุคคล” (Juridical Person) ที่จัดตั้งขึ้นตามกฎหมาย เช่น บริษัท สมาคม มูลนิธิ หรือองค์กรอื่นใด
“การประมวลผล” หมายถึง การดำเนินการใดๆ เกี่ยวกับการใช้ การเปิดเผย หรือการแก้ไขซึ่งข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไม่ว่าจะใช้วิธีการใดๆ และให้หมายความรวมถึงการส่งหรือโอนข้อมูลส่วนบุคคลที่ใช้ในการประกอบกิจการนั้นๆ
2. การเก็บรวบรวม และวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทใช้วิธีการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลด้วยวิธีการที่ชอบด้วยกฎหมายและเป็นธรรม โดยจัดเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น ภายใต้วัตถุประสงค์ในการดำเนินงานของบริษัท หรือตามที่กฎหมายกำหนดเท่านั้น ซึ่งหากมีการเปลี่ยนแปลงวัตถุประสงค์ บริษัทจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล และบันทึกเพิ่มเติมไว้เป็นหลักฐาน โดยมีรายละเอียดดังนี้
- วัตถุประสงค์ของการเก็บรวบรวม
- ข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวม
- กรณีที่เจ้าของข้อมูลต้องให้ข้อมูลส่วนบุคคล เพื่อปฏิบัติตามกฎหมายหรือสัญญา หรือเพื่อเข้าทำสัญญาโดยต้องแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบด้วย
- ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจถูกเปิดเผย
- สิทธิของเจ้าของข้อมูล
3. การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล
การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล บริษัทจะต้องดำเนินการตามความจำเป็น และตรงกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูล และจะต้องได้รับความยินยอมจากเจ้าของข้อมูลจากเจ้าของข้อมูลที่ให้ไว้ก่อนหรือในขณะนั้น เว้นแต่กรณีดังต่อไปนี้ ไม่จำเป็นต้องขอความยินยอม
- เพื่อประโยชน์ในการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- เพื่อความจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
- เพื่อประโยชน์สาธารณะของผู้ควบคุมโดยชอบด้วยกฎหมาย
- เพื่อประโยชน์ในการสืบสวนของพนักงานเจ้าหน้าที่ตามกฎหมาย หรือในการพิจารณาพิพากษาคดีของศาล
- เพื่อปฏิบัติหน้าที่ตามกฎหมาย หรือตามคำสั่งศาล
4. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
5. ดำเนินการทบทวนมาตรการรักษาความมั่นคงปลอดภัย เมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ดำเนินการอย่างน้อยปีละ 1 ครั้ง หรือให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
6. จัดให้มีการกำหนดขั้นตอน ระเบียบในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
7. จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด ระยะเวลาการเก็บรักษา หรือที่ ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวม ข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคล ได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ ดังนี้
- เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
- เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
- เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้านสังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติ ตามกฎหมายและข้อมูลส่วนบุคคลนั้นอยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่ รักษาข้อมูลส่วนบุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์
- ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจากโรคติดต่อ อันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือการควบคุมมาตรฐานหรือคุณภาพ ของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิ และเสรีภาพของเจ้าของข้อมูลส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือ ตามจริยธรรมแห่งวิชาชีพ
8. จัดให้ขั้นตอนการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล (PII data Breach) แก่สำนักงานโดยไม่ชักช้าภายใน72 ชั่วโมงตามมาตรฐานนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดข้อมูลส่วนบุคคล มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยา โดยไม่ชักช้าด้วย หรือการแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด
9. จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Personal Officer) อย่างเป็นลายลักษณ์อักษร เพื่อบริหารจัดการและคุ้มครองข้อมูลส่วนบุคคล อาธิเช่น การให้คำแนะนำให้ปฏิบัติตาม การตรวจสอบการดำเนินการของบริษัทที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล การประสานงานและให้ความร่วมมือสำนักงาน การรักษาความลับของข้อมูลส่วนบุคคลที่ล่วงรู้ และการรายงานให้ผู้บริการสูงสุดขององค์กรทราบกรณีเกิดปัญหา ให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
10. ช่องทางการติดต่อ
บริษัท เทโลเนียร์ จำกัด 555/46 ถนนสุขาภิบาล 5 แขวงออเงิน เขตสายไหม กรุงเทพมหานคร 10220
หมายเลขโทรศัพท์ 02 001 7997 ต่อ 3
E-mail: procurement@teloneer.com
Website: www.teloneer.com