บริษัท โอ เอส ดี จำกัด (บริษัท) มีความมุ่งมั่นที่จะให้ความคุ้มครองแก่ข้อมูลส่วนบุคคลและสิทธิความเป็นส่วนบุคคล (privacy) อย่างสูง บริษัทจึงได้จัดทำแนวปฏิบัติตามนโยบายความเป็นส่วนบุคคลฉบับนี้ขึ้น เพื่อเป็นแนวทางและรายละเอียดเกี่ยวกับการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลของพนักงาน นักศึกษาฝึกงาน อดีตพนักงาน สมาชิกในครอบครัว ผู้ค้ำประกันการปฏิบัติงาน ที่ปรึกษา บุคคลอ้างอิง ลูกค้าปัจจุบันและผู้ที่อาจจะเป็นลูกค้าในอนาคตผู้รับเหมาและผู้รับจ้างช่วงในปัจจุบันและผู้ที่อาจเป็นคู่ค้า ผู้รับเหมา หรือผู้รับจ้างช่วงในอนาคต (ท่าน) รวมถึงแนวทางในการปกป้องข้อมูลดังกล่าวอย่างเหมาะสมตลอดจนสิทธิของท่านในฐานะของเจ้าของข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และเพื่อเผยแพร่ให้แก่พนักงานของบริษัทรับทราบ มีความรู้ความเข้าใจ มีความตระหนักเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และสามารถนำไปปฏิบัติงานได้อย่างถูกต้อง เหมาะสม และมีประสิทธิภาพ
ขอบเขต
การจัดการข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่อ่อนไหวฉบับนี้ มีขอบเขตครอบคลุมข้อมูลส่วนบุคคลภายในขอบเขตการบริหารจัดการระบบสารสนเทศด้านความเป็นส่วนบุคคล (PIMS) ในฐานะที่บริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
คำจำกัดความ
คำศัพท์
นิยาม/คำจำกัดความ
บริษัท
บริษัท โอ เอส ดี จำกัด
ข้อมูลส่วนบุคคล
ข้อมูลเกี่ยวกับบุคคล (Personal Data) ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลนิติบุคคลและข้อมูลของผู้ถือแก่กรรม
ข้อมูลส่วนบุคคลที่อ่อนไหว
ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม (Sensitive Personal Data) ได้แก่ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลการเป็นสมาชิกสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
เจ้าของข้อมูลส่วนบุคคล
บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล (Data Subject) เช่น คณะกรรมการบริษัท ผู้บริหาร พนักงาน ลูกจ้าง ลูกค้า คู่ค้า
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
บริษัท หรือบุคคลหรือนิติบุคคลอื่นซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
บริษัท หรือบุคคล หรือนิติบุคคลอื่น ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)
บุคคล หรือหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของบริษัท ที่ทำหน้าที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
หน่วยงานเจ้าของข้อมูล
(Data Owner)
หน่วยงานที่รับผิดชอบในการสร้างข้อมูลทั้งในรูปแบบเอกสาร และรูปแบบอิเล็กทรอนิกส์ กำหนดผู้ใช้งานในบริษัท รวมทั้งสิทธิการเข้าถึง การลบหรือทำลายข้อมูลส่วนบุคคล และการใช้งานข้อมูลส่วนบุคคลอย่างปลอดภัยของบริษัท ซึ่งสามารถมอบหมายงานบางส่วนให้กับหน่วยงานผู้ดูแลข้อมูลได้
การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
ท่านมีสิทธิในการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของท่าน ดังต่อไปนี้
(1) สิทธิในการเพิกถอนความยินยอม (right to withdraw consent) ท่านมีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมกับบริษัทได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคคลของท่านอยู่กับบริษัท
(2) สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of access) ท่านมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของท่านและขอให้ผู้ให้บริการทำสำเนาข้อมูลส่วนบุคคลดังกล่าว
(3) สิทธิในการแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง (right to rectification) ท่านมีสิทธิในการขอให้ผู้ให้บริการแก้ไขข้อมูลที่ไม่ถูกต้อง หรือ เพิ่มเติมข้อมูลข้อมูลที่ไม่สมบูรณ์
(4) สิทธิในการลบข้อมูลส่วนบุคคล (right to erasure) ท่านมีสิทธิในการขอให้บริษัททำการลบข้อมูลของท่านด้วยเหตุบางประการได้
(5) สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing) ผู้ใช้บริการมีสิทธิในการระงับข้อมูลส่วนบุคคลของท่านได้ด้วยเหตุผลบางประการ
(6) สิทธิในการโอนย้ายข้อมูลส่วนบุคคล (right to data portability) ท่านมีสิทธิในการโอนย้ายข้อมูลส่วนบุคคลของท่านที่ท่านให้ไว้กับบริษัทไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือตัวท่านเองด้วยเหตุผลบางประการได้
(7) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object) ผู้ใช้บริการมีสิทธิคัดค้านการประประมวลผลข้อมูลส่วนบุคคลของท่านด้วยเหตุผลบางประการได้
มาตรการทางด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเป็นหลักการสำคัญที่บริษัทให้ความสำคัญเป็นอย่างมาก โดยหน่วยงานเจ้าของข้อมูล (Data owner) ถือเป็นเป็นกลุ่มคนสำคัญที่ต้องประเมินระดับความสำคัญของข้อมูลโดยการดำเนินการจัดลำดับความสำคัญจะดำเนินการตามกระบวนการจัดระดับชั้นความลับและวิธีการควบคุมด้านความมั่นคงปลอดภัย โดยบริษัทจำแนกระดับชั้นความลับออกเป็น 3 ระดับ ได้แก่ เปิดเผย (Public) ใช้ภายใน (Internal use) และ ลับ (Confidential) ซึ่งนำไปสู่การกำหนดมาตรการรักษาความปลอดภัยตามลำดับชั้นของข้อมูลทั้งในรูปแบบเอกสาร และรูปแบบอิเล็กทรอนิกส์ เช่น การจำกัดสิทธิการเข้าถึง การเข้ารหัส ข้อกำหนดในการรับและการส่งข้อมูลแต่ละลำดับชั้นข้อมูล ทั้งนี้บริษัทกำหนดมาตรการรักษาความปลอดภัยที่เหมาะสมตามลำดับชั้นความลับ และหลักการด้านความปลอดภัยของข้อมูลไว้ 3 ด้าน ได้แก่
(1) การรักษาความลับของข้อมูล (Confidentiality) คือ การจำกัดการเข้าถึง การเปิดเผยข้อมูล รวมถึงการปกป้องความเป็นส่วนบุคคลและสิทธิของเจ้าของข้อมูลส่วนบุคคล
(2) ความถูกต้องสมบูรณ์ของข้อมูล (Integrity) คือ การรักษาความปลอดภัยของข้อมูลจากการดัดแปลง หรือถูกทำลายโดยไม่เหมาะสม และการทำให้มั่นใจว่าข้อมูลมีความถูกต้อง
(3) ความพร้อมใช้งานของข้อมูล (Availability) คือ การทำให้แน่ใจว่าสามารถเข้าถึงข้อมูลและการพร้อมใช้งานได้ตลอดเวลา
บริษัทจัดเก็บข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่อ่อนไหวเพื่อใช้ประโยชน์ในการปฏิบัติตามสัญญา โดยบริษัทให้ความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลอย่างสูงสุด โดยกำหนดมาตรการที่ละเอียด รอบคอบเพื่อถือเป็นแนวทางที่เหมาะสมในการจัดการข้อมูลส่วนบุคคลที่จัดเก็บอยู่ในรูปของเอกสาร ทั้งเอกสารตีพิมพ์และเอกสารอิเล็กทรอนิกส์และการรักษาความปลอดภัยของข้อมูล โดยเฉพาะอย่างยิ่งข้อมูลส่วนบุคคลที่อ่อนไหวบริษัทจะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนการใช้หรือเผยแพร่
การเก็บรวบรวบ (collection)
บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลหลายประเภท รวมถึงข้อมูลดังต่อไปนี้
– ข้อมูลที่ใช้ระบุตัวตน (Identity Data) เช่น ชื่อ ชื่อสกุล เลขประจำตัวบัตรประชาชน เลขหนังสือเดินทางเลขประจำตัวผู้เสียภาษีอากร วัน เดือน ปีเกิด เพศ อายุ สัญชาติ สถานภาพการสมรส สถานภาพทางทหาร รูปถ่าย รวมถึงข้อมูลส่วนบุคคลที่อ่อนไหว เช่น ข้อมูลใบหน้าสำหรับใช้ในระบบการจดจำใบหน้า (Face Recognition) ลายนิ้วมือ เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลทุพพลภาพ โดยได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล (Data Subject) หรือตามที่กฎหมายกำหนด
– ข้อมูลติดต่อ (Contact Data) เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล
– ข้อมูลทางการเงิน เช่น หมายเลขบัญชีเงินฝากธนาคาร เงินเดือน รายได้
– ข้อมูลเกี่ยวกับการทำงาน เช่น หลักฐานแสดงสิทธิการทำงานตามกฎหมาย ได้แก่ ใบอนุญาตทำงาน ข้อมูลการทำงานของพนักงาน ข้อมูลเกี่ยวกับการประเมินผล การปฏิบัติงาน ประวัติการลา ประวัติความเจ็บป่วย ข้อมูลเกี่ยวกับการใช้งาน ระบบสารสนเทศของบริษัท
– ข้อมูลส่วนตัวอื่น ๆ เช่น ประวัติการทำงาน การศึกษา และการฝึกอบรม/สัมมนา/ดูงาน ข้อมูลบุคคลอ้างอิง ผู้ค้ำประกันการปฏิบัติงาน และสมาชิกในครอบครัว
– ข้อมูลการบันทึกภาพหรือเสียงระหว่างการปฏิบัติงาน เช่น การบันทึกภาพ โดยกล้องวงจรปิด การบันทึกเสียงสนทนากรณีติดต่อกับลูกค้าหรือบุคคลภายนอก
การใช้ หรือการเข้าถึงข้อมูล (Data Access)
การใช้ หรือการเข้าถึงข้อมูล (Data Access) หรือการเผยแพร่ข้อมูลส่วนบุคคลที่ได้จากการเก็บรวบรวมตามหลักการ การเก็บรวบรวบ (collection) บริษัทกำหนดให้หน่วยงานเก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับ และรักษาความปลอดภัยของข้อมูลส่วนบุคคลดังกล่าว รวมถึงป้องกันมิให้นำข้อมูลส่วนบุคคลไปเก็บรวบรวม ใช้ หรือเปิดเผยเพื่อการอื่นใดโดยไม่ได้รับอนุมัติจากผู้มีอำนาจ หรือโดยขัดต่อกฎหมาย
การโอนไปยังบุคคลที่สาม (transfer data)
1. การเปิดเผยหรือส่งข้อมูลส่วนบุคคลให้ผู้ประมวลผลข้อมูลส่วนบุคคล
กรณีบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีการเปิดเผย หรือส่งข้อมูลส่วนบุคคลให้บุคคลภายนอกในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล เช่น การจ้างที่ปรึกษาก การจ้างตามสัญญาการให้บริการต่าง ๆ เป็นต้น บริษัทจัดให้มีข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยให้หน่วยงานแจ้งบุคคลหรือหน่วยงานภายนอกที่มีการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามบริษัทจัดทำ “ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล” (Data Processing Agreement : DPA) และสัญญาเก็บรักษาความลับ (Non-disclosure Agreement) ซึ่งข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลประกอบด้วยเนื้อหา ดังนี้
(1) เงื่อนไขและคำสั่งในการประมวลผลข้อมูลส่วนบุคคลให้แก่ผู้ให้บริการภายนอก
(2) การดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคล
(3) การเก็บรักษาและการใช้ข้อมูลส่วนบุคคล
(4) การส่งหรือโอนถ่ายข้อมูลส่วนบุคคลไปยังบุคคลอื่นหรือสถานที่อื่น
(5) หน้าที่ของบริษัทในเครือและผู้ประมวลผลข้อมูลส่วนบุคคลช่วง
(6) มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
(7) การลบหรือการทำลายข้อมูลส่วนบุคคล
(8) การแจ้งเตือนเมื่อเกิดปัญหาด้านความปลอดภัยหรือเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคล
(9) ความรับผิดชอบของผู้ประมวลผมข้อมูลส่วนบุคคล
2. การแจ้งให้บุคคลที่สามทราบถึงการแก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคล
กรณีที่มีการแก้ไขข้อมูลส่วนบุคคลหรือมีการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลบริษัทต้องแจ้งบุคคลที่สามที่ได้รับการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวให้ทราบถึงการปรับแก้หรือการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลอันเกี่ยวเนื่องกับข้อมูลส่วนบุคคลนั้น ๆ เพื่อให้บุคคลที่สามสามารถดำเนินการประมวลผลข้อมูลส่วนบุคคลได้อย่างถูกต้องเหมาะสมและเป็นไปตามกฎหมาย
ระยะเวลาในการจัดเก็บ
การเก็บรักษาข้อมูลส่วนบุคคลบริษัทจัดเก็บตามระยะเวลาการจัดเก็บที่กำหนดไว้ ซึ่งในปัจจุบันบริษัทได้กำหนดระยะเวลาการจัดเก็บไว้ในคู่มือการปฏิบัติงาน (Work instruction) ต่าง ๆ สำหรับข้อมูลส่วนบุคคลที่จัดเก็บในสื่อบันทึกข้อมูลหรือคอมพิวเตอร์ของบริษัท ผู้ดูแลสื่อบันทึกข้อมูลหรือผู้ใช้คอมพิวเตอร์ของบริษัทต้องลบข้อมูลส่วนบุคคลทันทีหลังจากใช้ข้อมูลส่วนบุคคลดังกล่าวแล้วเสร็จ หรือพ้นระยะเวลาการจัดเก็บ
อย่างไรก็ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดข้อยกเว้นแม้ข้อมูลส่วนบุคคลนั้นจะพ้นระยะเวลาการเก็บรักษา หรือไม่เกี่ยวข้องกับวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลแต่ยังสามารถเก็บรักษาไว้ได้เพื่อวัตถุประสงค์บางประการ เช่น
(1) การใช้เสรีภาพในการแสดงความเห็น
(2) การปฏิบัติตามหรือใช้สิทธิเรียกร้องทางกฎหมาย
(3) การยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
การลบหรือทำลาย
บริษัทจะลบ หรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาตามกฎหมาย ระเบียบ คำสั่งของบริษัท หรือข้อมูลที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล ซึ่งการลบหรือการทำลายนั้นจะต้องทำให้ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลและไม่สามารถกู้คืนข้อมูลส่วนบุคคลนั้นได้อีกต่อไป โดยการลบ หรือการทำลายข้อมูลส่วนบุคคลสามารถแบ่งได้เป็น 2 กรณีตามรูปแบบการจัดเก็บข้อมูล ได้แก่ การจัดเก็บในรูปแบบเอกสาร และการจัดเก็บในระบบงาน (Application)
อย่างไรก็ตาม สำหรับข้อมูลส่วนบุคคลที่จัดเก็บในสื่อบันทึกข้อมูลหรือคอมพิวเตอร์ของบริษัท ผู้ดูแลสื่อบันทึกข้อมูลหรือผู้ใช้คอมพิวเตอร์ของบริษัทต้องลบข้อมูลส่วนบุคคลทันทีหลังจากการใช้ข้อมูลดังกล่าวแล้วเสร็จ
ช่องทางการใช้สิทธิของเจ้าของข้อมูลและติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
ท่านสามารถใช้และบริหารจัดการสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของท่านโดยติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อใช้และบริหารจัดการสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของท่านหรือร้องเรียนปัญหาใด ๆ เกี่ยวกับการเก็บรวบรวม ใช้ และประมวลผลข้อมูลส่วนบุคคลของของท่านที่ฝ่ายลูกค้าสัมพันธ์โทร: 02-080-1111 – 201 หรือ email: osd_support@localhost