นโยบายคุ้มครองข้อมูลส่วนบุคคล

นโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy)

(Personal Data Protection Policy)

บริษัท ภูริ เอสเตท จำกัด

หมวดที่ 1 บททั่วไป

บริษัท ภูริ เอสเตท จำกัด (“บริษัท”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล เนื่องจากการคุ้มครองข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของการรับผิดชอบต่อสังคมและเป็นรากฐานในการสร้างความสัมพันธ์ทางธุรกิจที่น่าเชื่อถือ บริษัทฯ จึงออกนโยบายฉบับนี้ขึ้นเพื่อกำหนดกรอบการคุ้มครองข้อมูลส่วนบุคคลในกระบวนการต่างๆของบริษัทฯ เพื่อให้พนักงานและบุคคลที่เกี่ยวข้องของบริษัทฯยึดถือและปฏิบัติตามให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.. 2562 (“... คุ้มครองข้อมูลส่วนบุคคล”) และมาตรฐานที่กำหนดไว้

1. นิยาม

บริษัทฯบริษัท ภูริ เอสเตท จำกัด
เจ้าของข้อมูลส่วนบุคคลบุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลซึ่ง บริษัท ภูริ เอสเตท จำกัด มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงผู้สมัคร พนักงาน ลูกค้า ผู้ถือหุ้น คู่ค้า ผู้ให้บริการ และผู้มีส่วนได้เสียกับบริษัทฯ
ผู้สมัครบุคคลที่แจ้งความประสงค์เพื่อรับการพิจารณาเข้าเป็นพนักงาน เข้าฝึกงาน
พนักงานลูกจ้างของบริษัท ตามกฎหมายแรงงาน
ข้อมูลข้อมูลส่วนบุคคล ข้อมูลซึ่งไม่ใช่ข้อมูลส่วนบุคคล ข้อมูลระบบ ข้อมูลที่ตั้ง คุกกี้
ข้อมูลส่วนบุคคลข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวตนนั้นได้ไม่ว่าทางตรงหรือทางอ้อมตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และที่แก้ไขเพิ่มเติม
ข้อมูลส่วนบุคคลที่มีความอ่อนไหวข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา หรือปรัชญา หรือพฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของ ข้อมูลส่วนบุคคลในทำนองเดียวกัน ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ตามพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ.2562 และที่แก้ไขเพิ่มเติม
ข้อมูลชีวภาพข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิค หรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือพฤติกรรมของบุคคลมาใช้ ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลจำลองภาพใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ
ข้อมูลสาธารณะข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้เปิดเผยต่อสาธารณชน เช่น ข้อมูลโปรไฟล์ สื่อสังคมออนไลน์ เมื่อมีการใช้ข้อมูลหรือรหัสการเข้าระบบของสื่อสังคมออนไลน์  (social media credential) หรือ Facebook ,  Instagram , Twitter , line   และรูปแบบแพลตฟอร์ม ออนไลน์อื่นๆ เพื่อเชื่อมต่อหรือเข้าสู่บริการใดๆ ของบริษัทฯ เช่น บัญชีสื่อสังคม ออนไลน์ (social media account ID) สิ่งที่สนใจ (interests) รายการที่ชอบ (likes) และรายชื่อเพื่อนของเจ้าของข้อมูลส่วนบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลสามารถควบคุมการจัดเก็บความเป็นส่วนตัวนี้ผ่านการตั้งค่าบัญชีสื่อสังคมออนไลน์ที่จัดทำไว้ให้ โดยผู้ให้บริการสื่อสังคมออนไลน์ดังกล่าว
การเก็บรวบรวมข้อมูลการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ของบริษัท ที่ชอบด้วยกฎหมาย
การเปิดเผยข้อมูลการนำข้อมูลส่วนบุคคลไปเปิดเผย เผยแพร่ด้วยวิธีการอย่างหนึ่งอย่างใด ผ่านช่องทางต่างๆ รวมถึงสื่อสังคมออนไลน์ทุกประเภท
ผู้ควบคุมข้อมูลส่วนบุคคลผู้ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล

ผู้ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล  โดยบุคคลดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

การประมวลผลข้อมูล

การดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใด ซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย

แอปพลิเคชัน

โปรแกรม หรือชุดคำสั่งที่ใช้ควบคุมการทำงานของคอมพิวเตอร์เคลื่อนที่และอุปกรณ์ต่อพ่วงต่างๆ เพื่อให้ทำงานตามคำสั่ง และตอบสนองความต้องการของผู้ใช้ โดยแอปพลิเคชัน (Application)  ต้องมีสิ่งที่เรียกว่า ส่วนติดต่อกับผู้ใช้ (User Interface (หรือ UI) เพื่อเป็นตัวกลางการใช้งานต่างๆ

IP  Address

สัญลักษณ์เชิงหมายเลขที่กำหนดให้แก่อุปกรณ์แต่ละชนิด เช่นคอมพิวเตอร์ หรือ เครื่องพิมพ์ ที่มีส่วนร่วมอยู่ในเครือข่ายคอมพิวเตอร์หนึ่งๆ ที่ใช้อินเตอร์เน็ตโพรโทคอลในการสื่อสาร

คุกกี้  (Cookie)

ข้อมูลขนาดเล็กที่เว็บไซต์ของบริษัท ส่งไปยังคอมพิวเตอร์หรืออุปกรณ์อิเลกทรอนิคที่เชื่อมต่ออินเตอร์เน็ต เพื่อเก็บข้อมูลส่วนบุคคล โดยคุกกี้จะถูกส่งกลับไปที่เว็บไซต์ต้นทางในแต่ละครั้งที่กลับมาดูที่เว็บไซต์ดังกล่าว

Log

ข้อมูลที่เกิดจากการใช้งานแอปพลิเคชัน ซึ่งรวมถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ประมาณ ระยะเวลา ชนิดของบริการ หรืออื่นๆ ที่เกี่ยวข้องกับการใช้งานของแอปพลิเคชัน

ข้อมูลที่ไม่สามารถระบุตัวตนได้

ข้อมูลที่ผ่านกระบวนการจัดทำข้อมูลนิรนามแล้ว

สำนักงาน

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วน

ภัยคุกคามทางไซเบอร์

การกระทำหรือการดำเนินการใดๆ ที่มิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือโปรแกรมไม่พึงประสงค์ โดยมีความมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นๆ ที่เกี่ยวข้อง

2. กฎหมายที่บังคับใช้

บริษัทฯ ได้กำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น เพื่อเป็นแนวปฏิบัติ ซึ่งอยู่บังคับของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ตลอดจนประกาศ และระเบียบอื่นที่เกี่ยวข้อง

3. หลักการและแนวปฏิบัติในการประมวลผลข้อมูลส่วนบุคคล

บริษัทฯ ได้กำหนดหลักการและแนวปฏิบัติในการประมวลผลข้อมูลส่วนบุคคล เพื่อใช้เป็นแนวทางปฏิบัติ เพื่อให้มั่นใจได้ว่าการประมวลข้อมูลส่วนบุคคลเป็นไปตามที่กฎหมายกำหนด

             3.1 หลักการในการประมวลผลข้อมูลส่วนบุคคล

              1)  Fairness and lawfulness)

                   การประมวลผลข้อมูล และการส่งหรือโอนข้อมูลส่วนบุคคลจะต้องเป็นไปโดยชอบด้วยกฎหมาย และเป็นไปตามที่กำหนดโดยชัดแจ้ง และเป็นธรรม

               2)  Restriction to a specific purpose   (Purpose Limitation)

                    การประมวลผลข้อมูลส่วนบุคคลจะกระทำเฉพาะวัตถุประสงค์ที่ได้มีการแจ้งไว้การเปลี่ยนวัตถุประสงค์ หรือเพิ่มวัตถุประสงค์ จะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน ยกเว้นไปตามที่กฎหมายกำหนด

                 3)  Transparency (Accountability)

                     บริษัทฯ มีหน้าที่ต้องแจ้งวัตถุประสงค์ ผู้ควบคุมข้อมูล การส่งหรือโอนข้อมูลให้บุคคลที่สาม (ถ้ามี) และสิทธิของเจ้าของข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลส่วนบุคคลได้ทราบก่อน หรือในเวลาที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล

โดยบริษัทฯ จะเผยแพร่นโยบายคุ้มครองข้อมูลส่วนบุคคล เอกสารระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล และระเบียบปฏิบัติที่เกี่ยวข้องไว้ในเว็บไซต์ของบริษัทฯ เพื่อให้เจ้าของข้อมูลส่วนบุคคล และบุคคลทั่วไปสามารถเข้าไปดูได้ และเก็บไว้เป็นไฟล์ข้อมูลกลางของบริษัทฯ เพื่อให้พนักงานทุกคนสามารถเข้าไปดูข้อมูลได้

                  4)  Necessity (Data Minimization)

                       บริษัทฯ จะเก็บรวบรวม ใช้ และเปิดเผย ข้อมูลส่วนบุคคลเฉพาะเท่าที่จำเป็น ตามวัตถุประสงค์ที่ได้รับความยินยอมไว้จากเจ้าของข้อมูลส่วนบุคคล และ/หรือ ที่สามารถทำได้โดยชอบด้วยกฎหมาย

                 

  5)  Deletion ( Storage minimization)

                          บริษัทฯ จะมีการจัดการข้อมูลส่วนบุคคลที่เกินระยะเวลาที่บริษัทฯ กำหนดในการจัดเก็บ หรือ บริษัทฯ ไม่มีสิทธิ หรือไม่สามารถอ้างหลักฐานในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล บริษัทฯ จะดำเนินการทำลายข้อมูลส่วนบุคคลนั้น และจัดทำวิธีการในการทำลายที่เหมาะสม      

                               6)  Accuracy. Up to date of data

                        บริษัทฯ จะใช้มาตรการตามสมควรในการเก็บรักษาข้อมูลส่วนบุคคลให้มีความถูกต้อง เป็นปัจจุบัน และเชื่อถือได้

              7)   Confidentiality and data security

                          บริษัทฯ จะกำหนดมาตรการเพื่อความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมทั้งระบบการจัดการและเทคนิค เพื่อให้มั่นใจได้ว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครองป้องกันตามที่กฎหมายกำหนด ทั้งการป้องกันการสูญหาย รั่วไหล การละเมิดจากผู้ที่ไม่ได้รับอนุญาต รวมถึงการประมวลผล หรือส่ง เปิดเผยโดยไม่ชอบด้วยกฎหมาย และรวมถึงการสูญหายจากอุบัติเหตุ

        3.2  แนวปฏิบัติการประมวลผลข้อมูลส่วนบุคคล

               บริษัทฯ ได้กำหนดแนวปฏิบัติการประมวลผลข้อมูลให้ครอบคลุมทั้งกระบวนการเป็นไปตามที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ..2562 กำหนดดังนี้

  1. การเก็บข้อมูลส่วนบุคคล

ในการเก็บข้อมูลส่วนบุคคลได้กระทำภายใต้วัตถุประสงค์ และเก็บรวบรวมเท่าที่จำเป็นตามกรอบวัตถุประสงค์ หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวมอันชอบด้วยกฎหมาย โดยต้องแจ้งให้เจ้าของข้อมูลทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลเกี่ยวกับรายละเอียด ในการเก็บรวบรวม เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว ดังนี้

  1. วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำไปใช้หรือเปิดเผย ซึ่งรวมถึงวัตถุประสงค์ตามที่กฎหมายให้อำนาจในการจัดเก็บรวบรวมได้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
  2. ข้อมูลส่วนบุคคลที่มีการเก็บ รวบรวม และระยะเวลาในการเก็บรวบรวมไว้
  3. กรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคล เพื่อปฏิบัติตามกฎหมายหรือสัญญา หรือเพื่อเข้าทำสัญญาโดยต้องแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบด้วย
  4. ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจถูกเปิดเผย
  5. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ รวมถึงตัวแทนด้วย(ถ้ามี)
  6. สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย

การเก็บรวบรวมข้อมูลส่วนบุคคลจะต้อง ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ยกเว้นตามที่กฎหมายกำหนดให้กระทำได้ เช่น ข้อมูลทั่วไปที่ไม่ต้องได้รับการยินยอมไปเป็นไปตามฐานสัญญา หรือเป็นไปตามที่กฎหมายกำหนด เช่น การส่งข้อมูลการจ่ายค่าจ้างให้กรมสรรพากร หรือข้อมูลอ่อนไหวที่ไม่ต้องได้รับความยินยอม เช่น ข้อมูลสุขภาพในการป้องกันโรคติดต่อ

           2)การใช้หรือเปิดเผยข้อมูล

การใช้หรือเปิดเผยข้อมูลส่วนบุคคลต้องดำเนินการให้เป็นไปตามวัตถุประสงค์หรือตามความจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวม และต้องได้รับความยินยอมจากเจ้าของข้อมูลที่ให้ไว้ก่อนหรือขณะนั้นยกเว้นตามที่กฎหมายกำหนดให้ใช้หรือเปิดเผยได้เช่นเป็นข้อมูลที่เปิดเผยต่อสาธารณะโดยชอบด้วยกฎหมาย เพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกายหรือสุขภาพเป็นต้น

4. บริหารจัดการความเสี่ยงการคุ้มครองข้อมูลส่วนบุคคล

บริษัทกำหนดให้มีการประเมินความเสี่ยงการคุ้มครองข้อมูลส่วนบุคคล เพื่อตรวจสอบความพร้อมและความถูกต้อง เพื่อให้แน่ใจว่าบริษัทมีการบริหารความเสี่ยงในการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอและเป็นไปตามกฎหมาย อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่ โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ต้องติดตามและรายงานผลด้านความเสี่ยงต่อคณะกรรมการบริษัท

5. วิธีได้มาของข้อมูลส่วนบุคคล

เพื่อให้สอดคล้องกับข้อกฎหมาย บริษัท จะเก็บรวบรวมข้อมูลส่วนบุคคลตามแนวปฏิบัติ ขอที่ 3.2 ด้วยกระบวนการดังต่อไปนี้

5.1 ข้อมูลส่วนบุคคลที่ได้รับจากเจ้าของข้อมูลส่วนบุคคลโดยตรง

5.2 ข้อมูลส่วนบุคคลจากบุคคลที่สาม  เช่น  บริษัทฯตัวแทนจัดหางาน

5.3 ข้อมูลส่วนบุคคลที่ได้รับจากการเข้าเยี่ยมชมเว็บไซต์ เช่นชื่อของผู้ให้บริการอินเทอร์เน็ต และที่อยู่ไอพี (IP Address) ผ่านการเขาใช้อินเทอร์เน็ต วันที่และเวลาของการเข้าเยี่ยมชมเว็บไซต์หน้าเพจที่เข้าเยี่ยมชมขณะเข้าเว็บไซต์ และที่อยู่ของเว็บไซต์ซึ่งเชื่อมโยงโดยตรงกับเว็บไซต์ของบริษัท

5.4 พฤติกรรมการใช้งานแอปพลิเคชัน โดยจะมีการเก็บ Log การใช้งานจากบนแอปพลิเคชันของทางบริษัท

5.5 ข้อมูลส่วนบุคคลที่ได้รับจากข้อมูลสาธารณะ (Public Records) และที่ไม่ใช่สาธารณะ (Non-Public-Records) ที่บริษัทมีสิทธิ์เก็บรวบรวมได้ตามกฎหมาย

5.6 ข้อมูลส่วนบุคคลที่ได้รับจากหน่วยงานภาครัฐ หรือหน่วยงานกำกับดูแลที่ใช้อำนาจตามกฎหมาย ทั้งนี้ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่สามารถกระทำได้โดยชอบด้วยกฎหมาย

6. การรักษาความมั่นคงปลอดภัยและความลับของข้อมูลส่วนบุคคล

เพื่อให้เจ้าของข้อมูลส่วนบุคคลมีความมั่นใจในการบริหารจัดการข้อมูลส่วนบุคคลของบริษัทฯ ในการป้องกันความเสี่ยงอันอาจทำให้ข้อมูลส่วนบุคคลถูกเข้าถึงโดยมิชอบ รั่วไหล ถูกเปลี่ยนแปลงแก้ไข สูญหาย

บริษัทฯจึงได้สร้างความตระหนักด้านความมั่นคงปลอดภัยทางสารสนเทศ รวมทั้งปฏิบัติตามมาตรฐานสากลด้านการรักษาความปลอดภัยสารสนเทศที่เป็นที่ยอมรับและการบริหารความต่อเนื่องทางธุรกิจ  และเป็นไปตามที่กฎหมายกำหนด

บริษัทฯมีมาตรการปกป้องความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลโดยการจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลจะกำหนดให้เฉพาะบุคคลที่จำเป็นต้องใช้ข้อมูลส่วนบุคคลดังกล่าวซึ่งบุคคลที่บริษัทฯอนุญาตให้เข้าถึงข้อมูลส่วนบุคคลนั้นจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของบริษัทอย่างเคร่งครัดตลอดจนการรักษาความลับของข้อมูลส่วนบุคคลดังกล่าวโดยบริษัทมีมาตรการป้องกันทางกายภาพและทางอิเล็กทรอนิกส์เป็นไปตามมาตรฐานการกำกับดูแลที่บังคับใช้เพื่อปกป้องข้อมูลส่วนบุคคล

เมื่อบริษัททำสัญญาหรือข้อตกลงกับบุคคลที่สามบริษัทจะกำหนดมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลการรักษาข้อมูลที่เป็นความลับที่เหมาะสมเพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่บริษัทครอบครองจะมีความปลอดภัย

7. สิทธิของเจ้าของข้อมูลส่วนบุคคล

สิทธิ

ระยะเวลาดำเนินการ

สิทธิขอถอนความยินยอม

7 วัน

สิทธิขอเข้าถึงข้อมูล

30 วัน

สิทธิขอถ่ายโอนข้อมูล

สิทธิขอคัดค้าน

สิทธิขอให้ลบหรือทำลายข้อมูล

สิทธิขอให้ระงับการใช้ข้อมูล

สิทธิขอให้แก้ไขข้อมูล

15 วัน

8. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

บริษัทได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อตรวจสอบการดำเนินการที่เกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.. 2562 และนโยบาย  ระเบียบ  ประกาศ  คำสั่ง  ทางบริษัทฯ รวมทั้งประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล  และมีหน้าที่อื่นๆตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล  ..2562  และที่จะมีการแก้ไขเพิ่มเติมกำหนด

9. คำถามที่เกี่ยวกับนโยบายความเป็นส่วนตัว

หากเจ้าของข้อมูลส่วนบุคคลมีข้อเสนอแนะหรือต้องการสอบถามข้อมูลที่เกี่ยวกับรายละเอียดการเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคลรวมถึงการขอใช้สิทธิตามนโยบายฉบับนี้สามารถติดต่อบริษัทและ/หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

10. ช่องทางการติดต่อ

หากเจ้าของข้อมูลส่วนบุคคลมีข้อเสนอแนะหรือต้องการสอบถามข้อมูลเกี่ยวกับรายละเอียดการเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคลรวมถึงการขอใช้สิทธิตามนโยบายฉบับนี้สามารถติดต่อบริษัทและ/หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลผ่านช่องทางดังนี้

ชื่อบริษัท บริษัท ภูริ เอสเตท จำกัด (สำนักงานใหญ่)

ที่อยู่เลขที่ 102/1 ชั้น 1 ถนนแจ้งวัฒนะ แขวงอนุสาวรีย์ เขตบางเขน           

กรุงเทพมหานคร 10220

เว็บไซต์ของบริษัทwww.puri.co.th

ศูนย์บริการลูกค้าทางโทรศัพท์ของบริษัท(Call Center) 1476

อีเมล์  [email protected]

11. ติดต่อหน่วยงานผู้มีอำนาจ (Appropriate Authority)

หากเจ้าของข้อมูลส่วนบุคคลต้องรายงานเรื่องที่ร้องเรียนหรือหากรู้สึกว่าบริษัทไม่ตอบข้อกังวลในลักษณะที่น่าพึงพอใจสามารถติดต่อและ/หรือร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ตามรายละเอียดด้านล่าง

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

โทรศัพท์ : 02-142-1033

อีเมล์ [email protected]

หรือส่งจดหมายมาที่ :120 หมู่ 3 อาคารรัฐประศาสนภักดี (อาคารB) ศูนย์ราชการ แจ้งวัฒนะ

    สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

    สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

          ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210

12. การปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Protection Privacy Policy)

บริษัทขอสงวนสิทธิ์ในการปรับปรุงเปลี่ยนแปลงหรือแก้ไขนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ได้ในอนาคตเป็นประจำอย่างน้อยปีละ  1  ครั้ง หรือเมื่อมีการเปลี่ยนแปลงข้อบังคับตามกฎหมาย และบริษัทจะประกาศให้ทราบผ่านเว็บไซต์ของบริษัทฯ

หมวดที่ 2

การคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้มีส่วนได้เสียภายใน (Internal Stakeholder)

บริษัทตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ซึ่งหมายรวมถึงผู้สมัครงานพนักงานปัจจุบัน ผู้บริหาร อดีตพนักงาน พนักงานที่เกษียณอายุแล้ว พนักงานชั่วคราว ผู้รับทุน คณะกรรมการ พยานและบุคคลอื่นที่เกี่ยวข้อง บริษัทจึงได้กำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลด้านงานบริหารทรัพยากรบุคคลเพื่ออธิบายวิธีการที่บริษัทเก็บรวบรวมใช้เปิดเผยและ/หรือ โอนไปยังต่างประเทศซึ่งข้อมูลส่วนบุคคลตลอดจนการแจ้งสิทธิ์ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เพื่อแสดงความโปร่งใสของบริษัทในการดำเนินกิจกรรมที่เกี่ยวข้องอันสอดคล้องกับข้อกำหนดภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

ทั้งนี้ บริษัทอาจจัดเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวผ่านทางช่องทางต่างๆเช่นสาขาเว็บไซต์ช่องทางการสื่อสารออนไลน์ (เช่นอีเมล) นิทรรศการการจ้างงานและงานกิจกรรมต่างๆหรือเก็บรวบรวมเมื่อบริษัทไปเยี่ยมเยือนหรือนัดหมายพบกับเจ้าของข้อมูลส่วนบุคคล หรือจากแหล่งอื่น (เช่น แพลตฟอร์มออนไลน์หรือแหล่งข้อมูลสาธารณะอื่นๆ) หรือ พันธมิตรทางธุรกิจ หน่วยงานภาครัฐ หรือบุคคลที่สาม และสถานที่อื่นๆ และ/หรือ ช่องทางการสื่อสารอื่น

  1. วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

1.1 การปฏิบัติตนตามสัญญา (Contractual Basis)

เพื่อการปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลให้เป็นคู่สัญญาเช่น  สัญญาจ้าง  สัญญาการฝึกงาน  สัญญาให้ทุนการศึกษา   สัญญาให้การสนับสนุน  หรือสัญญาอื่นใดหรือเพื่อใช้ในการดำเนินการตามคำขอ/ใบสมัคร ก่อนเข้าทำสัญญา ตามแต่กรณี โดยตัวอย่างที่บริษัทจะเก็บรวบรวมใช้และเปิดเผยข้อมูลเช่น

  1. การสอบข้อเขียนการสัมภาษณ์รวมถึงการจ่ายค่าจ้างหรือผลตอบแทนอื่นๆ การจัดให้มีสวัสดิการหรือประโยชน์อื่นใด การลงเวลาทำงาน  การลางาน  การแต่งตั้ง  การโยกย้าย  การเปลี่ยนตำแหน่ง  การปรับโครงสร้างองค์กร  การประเมินและการบริหารผลการปฏิบัติงาน
  2. การพัฒนาทักษะความสามารถการจัดทำบัตรพนักงาน การจัดทำทะเบียนพนักงาน การจัดทำข้อมูลพนักงาน การติดต่อสื่อสาร การมอบหมายงานให้ผู้อื่นทำแทนบริษัท การปฏิบัติตามกฎหมายการชำระภาษีการบริหารความเสี่ยง การกำกับตรวจสอบ การป้องกันการทุจริต การสอบสวนและลงโทษทางวินัย การจัดการข้อร้องเรียน การบริหารจัดการภายในองค์กรและเพื่อวัตถุประสงค์อื่นใดที่จำเป็นต่อการจ้างงานตามวัตถุประสงค์ดังกล่าว
    1. 2.2.การปฏิบัติตามกฎหมาย (Legal Obligation)

เพื่อปฏิบัติหน้าที่ตามกฎหมายที่กำหนด อยู่ที่หน้าที่ของบริษัทในฐานะ ของนายจ้างหรือในฐานะอื่นใดเช่นกฎหมายแพ่งและพาณิชย์  กฎหมายธุรกิจสถาบันการเงิน  กฎหมายหลักทรัพย์และตลาดหลักทรัพย์ 

กฎหมายประกันภัย  กฎหมายคุ้มครองแรงงาน กฎหมายประกันสังคม  กฎหมายเงินทดแทน 

กฎหมายแรงงานสัมพันธ์  กฎหมายกองทุนสำรองเลี้ยงชีพกฎหมายภาษีอากรกฎหมายล้มละลาย

กฎหมายป้องกันและปราบปรามการ ฟอกเงิน กฎหมายป้องกันและปราบปรามการสนับสนุนทางการเงินแก่การก่อการร้าย และแพร่ขยายอาวุธที่มีอานุภาพทำลายล้างสูง กฎหมายคอมพิวเตอร์ การนำส่งข้อมูลให้ตลาดหลักทรัพย์แห่งประเทศไทย

1.3 ประโยชน์โดยชอบด้วยกฎหมาย (legitimate Interest)

เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือของบุคคลหรือนิติบุคคลอื่นโดยไม่เกินขอบเขตและความคาดหมายที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผลตั้งแต่แรกเช่น

  1. การบันทึกเสียง  การบันทึกภาพนิ่ง  การบันทึกภาพเคลื่อนไหว กล้อง CCTV เพื่อป้องกันอาชญากรรม การประมวลข้อมูลเพื่อรักษาความปลอดภัยของระบบและเครือข่าย เพื่อการบริหารจัดการ
  2. การสำรวจความคิดเห็น การเข้าร่วมกิจกรรมภายในองค์กร การประกาศผล  การรับส่งพัสดุ การวิเคราะห์วิจัย  ทำสถิติ
  3. การบริหารความเสี่ยง การกำกับตรวจสอบ การจัดการข้อร้องเรียน การบริหารจัดการภายในองค์กร การป้องกัน รับมือ ลดความเสี่ยงที่จะเกิดการกระทำการทุจริต
  4. ภัยคุกคามทางไซเบอร์ การกระทำผิดกฎหมายต่างๆ การตรวจสอบข้อมูลการใช้อุปกรณ์อิเล็กทรอนิกส์ เพื่อเพิ่มประสิทธิภาพในการทำงานหรือตรวจสอบพฤติกรรมการปฏิบัติงาน การดำเนินคดีในชั้นศาล 
  5. การทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (Anonymous data)
  6. ข้อมูลผู้สมัครที่ไม่ผ่านการพิจารณาและข้อมูลบุคคลอ้างอิงของผู้สมัคร

1.4 ความยินยอม (Consent)

เพื่อเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลตามความจำเป็น ยกตัวอย่างเช่น

  1. ข้อมูลสุขภาพเพื่อการพิจารณารับสมัครคัดเลือกเข้าทำงาน เข้ารับทุนการศึกษา รับการสนับสนุน/การให้สวัสดิการเบิกค่ารักษาพยาบาล/การรักษาพยาบาลที่ห้องพยาบาล/การตรวจสุขภาพประจำปี/โปรแกรมเพื่อสุขภาพต่างๆเช่น การ จัดฉีดวัคซีนและอื่นๆเป็นต้น
  2. ข้อมูลชีวภาพ (Biometric) เช่นข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองลายนิ้วมือ ข้อมูลจำลองม่านตา

เพื่อวัตถุประสงค์ในการตรวจสอบและพิสูจน์ตัวตนเพื่อลงเวลาทำงาน/เข้าประชุม/อบรมสัมมนา/เข้าร่วมกิจกรรม/เข้าอาคาร ข้อมูลประวัติอาชญากรรม ข้อมูลประวัติพฤติกรรม ถ้าเพื่อการพิจารณารับเข้าทำงาน เพื่อการพิจารณาเข้ารับทุนการศึกษา เพิ่มการพิจารณาเข้ารับการสนับสนุนตรวจสอบคุณสมบัติในงานที่รับผิดชอบ

2.วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล

ประเภทข้อมูล

วัตถุประสงค์ในการประมวลผล

ข้อมูลส่วนบุคคล

ชื่อ

อีเมล

ที่อยู่

ที่อยู่สำนักงาน

เมื่อเยี่ยมชมเว็บไซต์ของบริษัทอาจถูกร้องขอให้ลงทะเบียนกับบริษัท และ/หรือ อาจจำเป็นต้องแจ้งข้อมูลส่วนบุคคลให้กับบริษัทเพื่อวัตถุประสงค์ เช่น

เพื่อตรวจสอบและยืนยันตัวตน

เพื่อรักษาความปลอดภัยต่อบัญชีผู้ใช้

เบอร์โทรศัพท์

เพศ

การตั้งค่าต่างๆ

การตั้งค่าความปลอดภัยในบัญชี

ข้อมูลอื่นที่เกี่ยวข้องที่มีการจัดเก็บเพิ่มเติมเพื่อประโยชน์ตามวัตถุประสงค์

ไอพีแอดเดรส (IP Address)

เพื่อแจ้งเกี่ยวกับการเปลี่ยนแปลงที่จะเกิดขึ้นเพื่อตรวจสอบตัวตน

ข้อมูลพฤติกรรมการสืบค้น

ประเภทเบราว์เซอร์

โดเมน

เว็บไซต์ที่เยี่ยมชม

เวลาเข้าเว็บไซต์

ที่อยู่เว็บไซต์อ้างอิง

ข้อมูลเพื่อการสนับสนุนลูกค้า

-Log

เพื่อให้ข้อมูลในการเข้าและใช้เว็บไซต์ 

รวมถึงแอปพลิเคชันของบริษัท

เพื่อจัดทำเว็บไซต์และแอปพลิเคชัน :เพื่อการดำเนินการภายใน แก้ไขปัญหาของเว็บไซต์วิเคราะห์ข้อมูล ทดสอบ วิจัย เพื่อความปลอดภัย

การตรวจสอบการบิดเบือนและการจัดการบัญชีผู้ใช้

เพื่อแก้ไขและสำรวจปัญหา

ของบริษัท ตามกฎหมายแรงงาน

ข้อมูลระบบ

เพื่อให้ข้อมูลในการเข้าและใช้เว็บไซต์ของบริษัทเพื่อจัดการเว็บไซต์ เพื่อการดำเนินการภายใน แก้ไขปัญหาของเว็บไซต์ วิเคราะห์ข้อมูล ทดสอบ วิจัย

เพื่อความปลอดภัย การตรวจสอบการบิดเบือน และการจัดการบัญชีผู้ใช้ เพื่อพัฒนาประสบการณ์ของผู้ใช้

ข้อมูลที่ตั้ง

เว็บไซต์จะใช้ข้อมูลที่คุกกี้ได้เก็บรวบรวมเพื่อการวิเคราะห์ทางสถิติ หรือกิจกรรมอื่นของบริษัท เพื่อพัฒนาผลิตภัณฑ์และบริการของบริษัทต่อๆไป

คุกกี้

เว็บไซต์จะใช้ข้อมูลที่คุกกี้ได้เก็บรวบรวมเพื่อการวิเคราะห์ทางสถิติ  หรือกิจกรรมอื่นของบริษัทเพื่อพัฒนาผลิตภัณฑ์และบริการของบริษัทต่อๆไป

3.ข้อมูลส่วนบุคคลที่จัดเก็บ

3.1 ข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลคือข้อมูลที่ทำให้สามารถระบุตัวตนได้  ไม่ว่าจะทางตรงหรือทางอ้อม (แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม) ได้แก่

  1. ข้อมูลส่วนบุคคลที่พนักงานหรือเจ้าของข้อมูลส่วนบุคคลให้แก่บริษัท โดยตรงทั้งการเก็บข้อมูลจากใบสมัครงาน สมัครทุนการศึกษา การขอรับการสนับสนุนการสัมภาษณ์และในระหว่างการได้รับทุนการศึกษาได้รับการสนับสนุนการฝึกงานหรือการจ้างงาน
  2. ข้อมูลส่วนบุคคลที่บริษัทได้รับหรือเข้าถึงได้จากแหล่งอื่นเช่นหน่วยงานของรัฐบริษัทในกลุ่มธุรกิจทางการเงิน สถาบันการเงินผู้ให้บริการทางการเงินพันธมิตรทางธุรกิจ บริษัทข้อมูลเครดิต และผู้ให้บริการข้อมูลเป็นต้น โดยบริษัทจะเก็บรวบรวมข้อมูลจากแหล่งอื่นต่อเมื่อได้ปฏิบัติตามข้อที่กฎหมายกำหนด เว้นแต่บริษัทมีความจำเป็นตามกรณีที่กฎหมายอนุญาตหรือสามารถเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ตามกฎหมายกำหนด

ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมใช้และเปิดเผยเช่น

ข้อมูลส่วนตัวเช่นชื่อนามสกุลเพศอายุวันเดือนปีเกิดสถานที่เกิดสถานภาพสมรสสัญชาติเลขประจำตัวประชาชน หนังสือเดินทาง ความเป็นพลเมืองจะใช้ใบขับขี่สถานภาพการเกณฑ์ทหาร ประวัติการศึกษา ประวัติการทำงาน ประวัติการเรียนรู้ ใบอนุญาตต่างๆ โดยที่บัญชีธนาคาร

ข้อมูลการติดต่อเช่น ที่อยู่ตามทะเบียนบ้าน ที่อยู่ปัจจุบัน หมายเลขโทรศัพท์ อีเมล ไอดีไลน์รวมถึงข้อมูลในโซเชียลมีเดียต่างๆ

ข้อมูลเกี่ยวกับการจ้างงานเช่นตำแหน่งงานตำแหน่งองค์กรสังกัดต่างๆในองค์กรค่าจ้างผลตอบแทนอื่นการใช้สวัสดิการการลงเวลาทำงานการลางานการแต่งตั้งการโยกย้ายการเปลี่ยนตำแหน่ง การประเมินผลทดลองงานการประเมินผลการปฏิบัติงาน ทักษะความสามารถบุคลิกภาพและพฤติกรรมการสอบสวนการลงโทษ(ยกเว้นพฤติกรรมทางเพศ)

ข้อมูลอุปกรณ์หรือเครื่องมือเช่น MAC Address IP Address Cookie  ID IMEI

ข้อมูลบุคคลที่สาม เช่นข้อมูลสมาชิกในครอบครัว ข้อมูลผู้รับผลประโยชน์จากสวัสดิการต่างๆ ข้อมูลผู้ติดต่อฉุกเฉิน ข้อมูลผู้ค้ำประกันการทำงานและบุคคลอ้างอิง

ข้อมูลอื่นๆเช่นการใช้งานเว็บไซต์ความคิดเห็นความชื่นชอบงานอดิเรกผลการสอบข้อเขียนเสียงห้ามนิ่งภาพเคลื่อนไหวรวมถึงการเข้าร่วมกิจกรรมหรือแคมเปญต่างๆที่บริษัทจัดขึ้นและข้อมูลอื่นใดที่ถือว่าเป็นข้อมูลส่วนบุคคลตามกฎหมาย

3.2 ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)

ข้อมูลส่วนบุคคลที่มีความอ่อนไหวคือข้อมูลส่วนบุคคลที่กฎหมายกำหนดเป็นการเฉพาะเช่นเชื้อชาติความคิดเห็นทางการเมืองความเชื่อในลัทธิศาสนาหรือปรัชญาพฤติกรรมทางเพศประวัติอาชญากรรมข้อมูลสุขภาพ

ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ(Biometric) หรือข้อมูลอื่นใดในทำนองเดียวกันที่กฎหมายกำหนด ซึ่งบริษัทต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ โดยบริษัทจะเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวรวมทั้งส่งหรือโอนข้อมูลส่วนบุคคลที่มีความอ่อนไหวต่างประเทศต่อเมื่อบริษัทได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลหรือในกรณีที่บริษัทมีความจำเป็นตามกรณีที่กฎหมายอนุญาตหรือสามารถเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ตามที่กฎหมายกำหนด

(ต่อไปนโยบายฉบับนี้หากไม่กล่าวโดยเฉพาะเจาะจงจะเรียกข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่มีความอ่อนไหวข้างต้นรวมกันว่าข้อมูลส่วนบุคคล”)

4.การเปิดเผยและถ่ายโอนข้อมูลส่วนบุคคล

4.1  การเปิดเผยข้อมูลบุคคล

บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้อื่นภายใต้ความยินยอมของเจ้าของข้อมูลส่วนบุคคล หรือฐานทางกฎหมายตามวัตถุประสงค์ที่ระบุไว้ในนโยบายฉบับนี้เช่นผู้ประมวลผลข้อมูลส่วนบุคคลผู้ให้บริการภายนอกทั้งในประเทศและต่างประเทศ ตัวแทนของบริษัทหน่วยงานหรือบริษัทภายนอกที่บริษัทไปศึกษาดูงานผู้รับจ้างช่วงงานต่อสถาบันการเงินผู้สอบบัญชี ผู้ตรวจสอบภายนอกผู้มีอำนาจตามกฎหมายผู้สนใจจะเข้ารับโอนสิทธิ และ/หรือ ผู้รับโอนสิทธิหรือการควบคุมกิจการต่างๆของบริษัท นิติบุคคล/บุคคลใดๆ ที่มีความสัมพันธ์หรือมีสัญญาอยู่กับบริษัท ซึ่งรวมตลอดถึง ผู้บริหาร พนักงาน ผู้รับจ้าง ตัวแทนที่ปรึกษาของบริษัท และของบุคคลหรือหน่วยงานที่เป็นผู้รับข้อมูลดังกล่าว

4.2การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

หากบริษัทมีการดำเนินธุรกิจต่างประเทศ บริษัทจึงอาจมีความจำเป็นต้องส่งโอนข้อมูลส่วนบุคค

ไปยังกลุ่มบริษัท/กิจการ/ธุรกิจ ที่อยู่ต่างประเทศ ซึ่งอาจเป็นประเทศที่เจ้าของข้อมูลส่วนบุคคลทำงาน หรือไปยังผู้รับข้อมูลอื่นซึ่งเป็นส่วนหนึ่งของการดำเนินธุรกิจตามปกติของบริษัทเช่นการส่งหรือโอนข้อมูลส่วนบุคคลไปเก็บไว้บน Server/Cloud ในประเทศต่างๆ กรณีที่ประเทศปลายทางที่อยากมีมาตรฐานไม่เพียงพอบริษัทจะดูแลการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามกรณี ที่กฎหมายกำหนด แล้วจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลและมาตรการเยียวยาตามที่เห็นว่าจำเป็นและเหมาะสมสอดคล้องกับมาตรฐานการรักษาความลับตามที่กฎหมายประเทศนั้นกำหนด เช่น กำหนดให้ผู้รับข้อมูลมีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เทียบเท่ากับมาตรการของบริษัท มีข้อตกลงรักษาความลับกับผู้รับข้อมูลในประเทศดังกล่าว หรือในกรณีที่ผู้รับข้อมูลเป็นกลุ่มบริษัท ภูริ เอสเตท/กิจการธุรกิจเดียวกัน บริษัทอาจเลือกใช้วิธีดำเนินการให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรองจากผู้มีอำนาจตามกฎหมายที่เกี่ยวข้อง และจะดำเนินการให้ การส่งหรือโอนข้อมูลส่วนบุคคลไปยังกลุ่มบริษัทภูริ เอสเตท/ธุรกิจเดียวกัน ที่อยู่ต่างประเทศ เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวแทนการดำเนินการตามที่กฎหมายกำหนดไว้ก็ได้

5.การใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ

การรับสมัครงานและบรรจุเข้าเป็นพนักงานของบริษัทหรือการดำเนินการตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลของบริษัทในบางกรณีบริษัทมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษเช่นข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติศาสนาหรือปรัชญาพฤติกรรมทางเพศความพิการข้อมูลประวัติอาชญากรรมข้อมูลสหภาพแรงงานข้อมูลพันธุกรรมข้อมูลชีวภาพและข้อมูลสุขภาพเป็นต้นซึ่งในกรณีนี้บริษัทจะแจ้งและขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษเพื่อดำเนินการตามวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคลของบริษัทต่อไป

หมวดที่ 3

คุ้มครองข้อมูลส่วนบุคคลสำหรับผู้มีส่วนได้เสียภายนอก (External Stakeholder)

บริษัทฯตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของผู้มีส่วนได้เสียภายนอก ซึ่งหมายรวมถึงลูกค้า ผู้เช่าผู้ให้เช่าผู้ถือหุ้น และที่ปรึกษา บริษัทฯจึงกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลเพื่ออธิบายวิธีการที่บริษัทเก็บรวบรวมใช้เปิดเผยและ/หรือ โอนไปยังต่างประเทศซึ่งข้อมูลส่วนบุคคลตลอดจนการแจ้งสิทธิ์ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเพื่อแสดงความโปร่งใสของบริษัทฯในการดำเนินกิจกรรมที่เกี่ยวข้องอันสอดคล้องกับข้อกำหนด ภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

  1. ประเภทของเจ้าของข้อมูลส่วนบุคคลภายใต้นโยบายคุ้มครองข้อมูลส่วนบุคคลในหมวดนี้ ได้แก่
    1. 1.1.ลูกค้าบุคคลธรรมดาของบริษัทซึ่งรวมไปถึงบุคคลธรรมดาซึ่งใช้หรือเคยใช้ผลิตภัณฑ์หรือบริการ ผู้ติดต่อสอบถามข้อมูลผลิตภัณฑ์บริการผู้ที่รับทราบข้อมูลผลิตภัณฑ์หรือบริการผ่านสื่อต่างๆและผู้ได้รับการเสนอหรือชักชวนจากบริษัทให้ใช้หรือรับผลิตภัณฑ์หรือบริการ
    2. 1.2.คู่ค้าได้แก่พันธมิตรทางธุรกิจที่บริษัทจัดซื้อจัดจ้างสินค้าและ/หรือบริการ
    3. 1.3.ผู้ลงทุน ผู้ถือหุ้น และที่ปรึกษา
  2. วัตถุประสงค์ในการเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคล

บริษัทมีวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล  ดังนี้

    1. 2.1.เพื่อการให้บริการการปรับปรุงผลิตภัณฑ์และบริการของบริษัท  รวมถึงบริการหรือผลิตภัณฑ์อื่นๆที่จะมีในอนาคต ตลอดจนการดูแลการบำรุงรักษา และการดำเนินการที่เกี่ยวข้องกับการให้บริการดังกล่าว
    2. 2.2.เพื่อการดำเนินธุรกรรมต่างๆที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการของบริษัทเช่นการผ่อนดาวน์การนัดตรวจ การนัดโอนกรรมสิทธิ์ กิจกรรมที่เกี่ยวข้องกับการบริหารงานนิติบุคคลอาคารชุดนิติบุคคลหมู่บ้านจัดสรรเป็นต้น
    3. 2.3.เพื่อการบริหารความสัมพันธ์ระหว่างบริษัทกับเจ้าของข้อมูลส่วนบุคคล
    4. 2.4.เพื่อยืนยันและ/หรือ ระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลในการเข้าใช้บริการผ่านช่องทางต่างๆหรือการติดต่อกับบริษัท
    5. 2.5.เพื่อการติดต่อสื่อสารแจ้งและ/หรือ รับข้อมูลข่าวสารต่างๆจากบริษัทหรือการเปลี่ยนแปลงต่างๆที่เกิดขึ้นของบริษัท
    6. 2.6.เพื่อการดำเนินการตามความประสงค์ของเจ้าของข้อมูลส่วนบุคคลที่ได้แจ้งไว้กับบริษัท
    7. 2.7.เพื่อการนำเสนอสิทธิประโยชน์ต่างๆและ/หรือ บริการอื่นๆของบริษัทอาทิ การให้คำแนะนำและ/หรือ ข้อเสนอเกี่ยวกับผลิตภัณฑ์และการบริการรวมถึงโปรโมชั่นต่างๆในการส่งเสริมกิจกรรมทางการตลาดรวมถึงการทำธุรกรรมที่เกี่ยวข้องกับการใช้บริการของบริษัท
    8. 2.8.เพื่อการดำเนินธุรกิจของบริษัทเช่นการวิเคราะห์ข้อมูล การตรวจสอบ การพัฒนาผลิตภัณฑ์ใหม่ การปรับปรุงหรือเปลี่ยนแปลงการบริการ การวิเคราะห์การใช้งานด้านบริการ การสำรวจการจัดกิจกรรมส่งเสริมการขายการพิจารณาการดำเนินงานและขยายธุรกิจของบริษัท
    9. 2.9.เพื่อการดำเนินการใดๆที่จำเป็นและเหมาะสมในกรณีต่างๆดังนี้
      1. ตรวจสอบและป้องกันการกระทำที่ละเมิดหรืออาจจะละเมิดต่อกฎหมาย
      2. ตอบสนองต่อคำขอจากหน่วยงานรัฐหรือรัฐบาลรวมถึงหน่วยงานของรัฐหรือรัฐบาลต่างประเทศที่เจ้าของข้อมูลส่วนบุคคลอาศัยอยู่
      3. บังคับใช้ข้อกำหนดในการให้บริการนโยบายที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของบริษัท
      4. ปกป้องการดำเนินธุรกิจของบริษัท
      5. ปกป้องสิทธิความเป็นส่วนตัว ความปลอดภัยหรือทรัพย์สินของบริษัท บุคลากรและเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น
      6. เยียวยาป้องกันหรือจำกัดความเสียหายที่อาจเกิดขึ้น
    10. 2.10.เพื่อปฏิบัติตามกฎหมายการสืบสวนของเจ้าพนักงานหรือหน่วยงานกำกับดูแลหรือเพื่อให้เป็นไปตามกฎข้อบังคับ หรือข้อผูกพันตามที่กฎหมายหรือภาครัฐกำหนด
    11. 2.11.เพื่อการดำเนินการตามหน้าที่อื่นๆของบริษัทซึ่งขึ้นอยู่กับความสัมพันธ์ระหว่างบริษัทกับเจ้าของข้อมูลส่วนบุคคลเช่น ในฐานะ ผู้ถือหุ้นของบริษัทฯ ที่บริษัทจะดำเนินการส่งจดหมายเพื่อเชิญเข้าร่วมประชุมผู้ถือหุ้น หรือในฐานะที่ปรึกษาบริษัท ที่บริษัทฯดำเนินการแต่งตั้ง รวมทั้งในฐานะใดก็ตามที่บริษัทฯจะต้องดำเนินการอันเนื่องมาจากหน้าที่ตามสัญญาหรือข้อตกลงใดๆที่เกี่ยวข้อง

ทั้งนี้วัตถุประสงค์อื่นๆที่ไม่ได้ระบุไว้ข้างต้นเจ้าของข้อมูลส่วนบุคคลจะได้รับการแจ้งเมื่อบริษัทมีการขอเก็บรวบรวมข้อมูลส่วนบุคคล

อนึ่ง ในการได้ข้อมูลส่วนบุคคลนั้นบริษัทจะเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์ตามข้อ 1 เฉพาะเมื่อเข้าเงื่อนไขดังต่อไปนี้

  1. เจ้าของข้อมูลได้ให้ความยินยอมไว้กับบริษัทตามกฎหมาย (Consent)
  2. เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอก่อนเข้าทำสัญญานั้น (Contract)
  3. เป็นการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือ สุขภาพของบุคคล (Vital Interest)
  4. เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท หรือปฏิบัติหน้าที่ในการใช้อำนาจที่รัฐได้มอบหมายให้แก่บริษัท(Public Task)
  5. เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือของบุคคลหรือนิติบุคคลอื่นเว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคล(Legitimate Interest
  6. เป็นความจำเป็นเพื่อปฏิบัติตามกฎหมาย (Legal Obligation)
  7. มีการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะหรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ โดยบริษัทจะจัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพ(Scientific or Historical Research)

         3.วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล

ประเภทข้อมูล

วัตถุประสงค์ในการประมวลผล

ข้อมูลส่วนบุคคล

ชื่อ

อีเมล

ที่อยู่

ที่อยู่สำนักงาน

เบอร์โทรศัพท์

เพศ

การตั้งค่าต่างๆ

การตั้งค่าความปลอดภัยในบัญชี

ข้อมูลอื่นๆที่เกี่ยวข้องที่มีการจัดเก็บเพิ่มเติมเพื่อประโยชน์ตามวัตถุประสงค์

หมายเลขบัตรเครดิต

ไอพี แอดเดรส (IP Address)

เมื่อมีการเยี่ยมชมเว็บไซต์ของบริษัทอาจถูกร้องขอให้ลงทะเบียนกับบริษัทและหรืออาจจำเป็นต้องแจ้งข้อมูลส่วนบุคคลให้กับบริษัท เพื่อวัตถุประสงค์ในการจัดเก็บข้อมูลเพื่อการตลาดของบริษัทเช่น

เพื่อติดต่อและเสนอบริการของบริษัทหรือข้อเสนออื่นๆเกี่ยวกับ บริษัทภูริเอสเตท ซึ่งเจ้าของข้อมูลส่วนบุคคลอาจจะเคยแสดงถึงความสนใจกับบริษัท

เพื่อแจ้งเกี่ยวกับข่าวสารผลิตภัณฑ์และจดหมายข่าว

เพื่อตรวจสอบตัวตน

เพื่อรักษาความปลอดภัยต่อบัญชีผู้ใช้

เพื่อแจ้งเกี่ยวกับการเปลี่ยนแปลงที่จะเกิดขึ้น

ข้อมูลบัตรเครดิตจะถูกจัดเก็บและถูกตรวจสอบผ่านทางระบบชำระเงินผ่านบุคคลที่สามข้อมูลนี้จะไม่ถูกจัดเก็บอย่างถาวรในเซิร์ฟเวอร์ของบริษัทและจะถูกลบทันทีหลังจากผ่านระบบการตรวจสอบโดยระบบชำระเงินของบุคคลที่สาม

เพื่อตรวจสอบตัวตน

ข้อมูลพฤติกรรมการสืบค้น

ประเภทเบราว์เซอร์

โดเมน

เว็บไซต์ที่เยี่ยมชม

เวลาเข้าเว็บไซต์

ที่อยู่เว็บไซต์อ้างอิง

ข้อมูลเพื่อการสนับสนุนลูกค้า

-Log

ข้อมูลในการเข้าใช้เว็บไซต์รวมถึง       แอปพลิเคชันของบริษัท

เพื่อจัดการเว็บไซต์และแอปพลิเคชัน   เพื่อการดำเนินการภายในแก้ไขปัญหาของเว็บไซต์วิเคราะห์ ข้อมูลทดสอบ วิจัย เพื่อความปลอดภัย การตรวจสอบการบิดเบือนและการจัดการบัญชีผู้ใช้

เพื่อแก้ไขและสำรวจปัญหา

ข้อมูลระบบ

เพื่อให้ข้อมูลในการเข้าและใช้เว็บไซต์ของบริษัท เพื่อจัดการเว็บไซต์ :เพื่อการดำเนินการภายใน แก้ไขปัญหาของเว็บไซต์ วิเคราะห์ข้อมูล ทดสอบ วิจัย เพื่อความปลอดภัย การตรวจสอบการบิดเบือน และการจัดการบัญชีผู้ใช้ เพื่อพัฒนาประสบการณ์ของผู้ใช้

ข้อมูลที่ตั้ง

เว็บไซต์จะใช้ข้อมูลที่คุกกี้ได้เก็บรวบรวมเพื่อการวิเคราะห์ทางสถิติ หรือกิจกรรมอื่นของ

ของภูริเอสเตท เพื่อพัฒนาผลิตภัณฑ์และบริการของบริษัทต่อๆไป

คุกกี้

เว็บไซต์จะใช้ข้อมูลที่คุกกี้ได้เก็บรวบรวมเพื่อการวิเคราะห์ทางสถิติ หรือกิจกรรมอื่นของบริษัทเพื่อพัฒนาผลิตภัณฑ์และบริการของบริษัทต่อไป

4.ข้อมูลส่วนบุคคลที่จัดเก็บ

บริษัทจะทำการเก็บรวบรวมข้อมูลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้กับบริษัทโดยตรงหรือข้อมูล

ส่วนบุคคลที่บริษัทได้รับจากการให้บริการหรือการดำเนินงานของบริษัทผ่านทุกช่องทาง

 

4.1ข้อมูลส่วนบุคคล หมายถึง ข้อมูลที่เกี่ยวข้องกับการระบุตัวตนของบุคคลธรรมดา            บุคคลธรรมดาที่ระบุตัวตนได้หมายความถึง บุคคลซึ่งสามารถถูกระบุตัวตนได้โดยเฉพาะเจาะจงโดยตรงหรือโดยอ้อม โดยอ้างอิงจากตัวบ่งชี้ใดๆเช่น

ชื่อ

อีเมล

ที่อยู่/ที่อยู่สำนักงาน

เพศ

เบอร์โทรศัพท์

หมายเลขบัตรเครดิต

หมายเลขประจำเครื่องคอมพิวเตอร์ (IP address)

4.2  ข้อมูลพฤติกรรมการสืบค้นหมายถึงข้อมูลที่ไม่เกี่ยวข้องต่อบุคคลธรรมดาที่ระบุตัวตนได้

เช่น ประเภทเบราว์เซอร์

4.3 โดเมน เว็บไซต์ที่เยี่ยมชมเวลาเข้าเว็บไซต์ ที่อยู่เว็บไซต์อ้างอิงข้อมูลเพื่อการสนับสนุนลูกค้า โดยจะมีการเก็บ log การใช้งานจากแอปพลิเคชันของทางบริษัท

4.4 ข้อมูลระบบ หมายถึง ข้อมูลที่บริษัทจัดเก็บโดยอัตโนมัติ เมื่อล๊อคอินเข้าสู่เว็บไซต์ของบริษัท ไม่ว่าจะผ่านทางคุกกี้ เว็บบีคอน ไฟล์ล๊อคอิน สคริปท์ (โปรดดูรายละเอียดเพิ่มเติมในนโยบายคุกกี้ของบริษัท)  รวมถึง ข้อมูลทางเทคนิค เช่น ที่อยู่ไอพี  ประเภทของเบราว์เซอร์  โดเมน  ประวัติเว็บไซต์ที่เยี่ยมชม  เวลาการเข้าใช้งาน  ที่อยู่เว็บไซต์ที่อ้างอิง  ข้อมูลเกี่ยวกับสิ่งที่ค้นหาหรือที่ดูในขณะที่ใช้เว็บไซต์ของบริษัท  รวมถึงพฤติกรรมการใช้งานแอปพลิเคชัน

4.5 ข้อมูลที่ตั้ง หมายถึง ข้อมูลที่ได้รับจากจีพีเอส ไวไฟ เข็มทิศ เครื่องวัดความเร่ง IP Address หรือโพสต์สาธารณะซึ่งระบุข้อมูลที่ตั้ง

4.6 คุกกี้ หมายถึง ข้อมูลที่ถูกวางในคอมพิวเตอร์โดยเว็บเซิร์ฟเวอร์ หลังจากคุกกี้ได้ถูกวางในคอมพิวเตอร์ คุกกี้จะเก็บหรือจดจำข้อมูลของผู้ใช้จนกว่าผู้ใช้จะปิดบราวเซอร์นั้นหรือจนกว่าผู้ใช้จะลบหรือปฏิเสธคุกกี้ อย่างไรก็ตามจะพบว่าเป็นการสะดวกในการนำทางการใช้เว็บไซต์ได้อย่างง่ายดาย เพราะคุกกี้จะช่วยเก็บข้อมูลเว็บไซต์ซึ่งเยี่ยมชม หรือเปิดขึ้น

5. การเปิดเผยและถ่ายโอนข้อมูลส่วนบุคคล

5.1 การเปิดเผยข้อมูลส่วนบุคคล

บริษัทเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอกและ/หรือองค์กร หรือหน่วยงานภายนอกเฉพาะในกรณีดังต่อไปนี้

ผู้รับเหมา/คู่สัญญา: ในกรณีที่บริษัททำการจ้างผู้รับเหมาเพื่อดำเนินการใดอันจำเป็นใช้ข้อมูลส่วนบุคคลเช่น รหัสไปรษณีย์ การวิเคราะห์ทางสถิติ หรือกิจกรรมออนไลน์ เว็บไซต์จะกำหนดให้ผู้รับเหมาในการดำเนินการนั้นเพื่อป้องกันความเป็นส่วนตัวของข้อมูลส่วนบุคคลและต้องห้ามมิให้ผู้รับเหมาใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นใดนอกจากเพื่อสนับสนุนกิจกรรมหรืองานของบริษัทฯ

ผู้ขาย/นายหน้าในบางกรณีบริษัทอาจทำการแชร์ข้อมูลต่อผู้ขายหรือนายหน้าซึ่งได้รับอนุญาตแล้ว

หน่วยงานรัฐบาลรัฐบาลหรือองค์กรอื่นตามกฎหมายเพื่อเป็นการปฏิบัติตามกฎหมายคำสั่ง

คำร้องขอ เพื่อการประสานงานกับหน่วยงานต่างๆในเรื่องที่เกี่ยวข้องกับการปฏิบัติตามกฎหมาย

           5.2 การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

                 ในกรณีที่บริษัทมีการโอน ถ่าย และ/หรือ ส่งข้อมูลไปยังต่างประเทศ บริษัทจะกำหนดมาตรฐานในการทำข้อตกลง และ/หรือ สัญญาร่มธุรกิจกับหน่วยงาน องค์กรที่จะได้รับข้อมูลส่วนบุคคลนั้น มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เป็นที่ยอมรับ และสอดคล้องกับกฏหมายที่เกี่ยวข้อง เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลนั้น จะได้รับการคุ้มครองอย่างปลอดภัย อาทิเช่น

              กรณีที่บริษัทมีความจำเป็นในการจัดเก็บ และ/หรือ โอน ถ่าย ข้อมูลส่วนบุคคล เพื่อการจัดเก็บ

              การประมวลผลในระบบคลาวด์ (Cloud) บริษัทจะพิจารณาองค์กรที่มีมาตรฐานความมั่นคงปลอดภัยในระดับสากล และจัดเก็บข้อมูลส่วนบุคคลในรูปแบบการเข้ารหัส หรือวีธีการอื่นๆที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ เป็นต้น

6.การใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ

ในการเสนอขายผลิตภัณฑ์หรือให้บริการของบริษัท หรือการดำเนินการตามวัตถุประสงค์

ในการเก็บรวบรวมข้อมูลส่วนบุคคลของบริษัทในบางกรณี บริษัทมีความจำเป็นต้องรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ เช่น ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพและข้อมูลสุขภาพ เป็นต้น ซึ่งในกรณีนี้บริษัทจะแจ้งและขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เพื่อใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษเพื่อดำเนินการตามวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคลของบริษัทต่อไป

7.การใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด

นอกจากวัตถุประสงค์ดังกล่าวข้างต้นและภายใต้ข้อกำหนดของกฎหมาย บริษัทจะใช้

ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด เช่น การจัดส่งเอกสารเกี่ยวกับโปรโมชั่นต่างๆทางไปรษณีย์ อีเมล และด้วยวิธีการอื่นใดรวมถึงการดำเนินการด้านการตลาดแบบตรง เพื่อเพิ่มสิทธิประโยชน์ ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากการเป็นลูกค้าของบริษัทผ่านการแนะนำผลิตภัณฑ์และบริการที่เกี่ยวข้อง

เจ้าของข้อมูลส่วนบุคคลสามารถเลือกที่จะไม่รับการสื่อสารเพื่อวัตถุประสงค์ทางการตลาดจาก

บริษัท ยกเว้นการติดต่อสื่อสารที่เกี่ยวข้องและจำเป็น และ/หรือบริการที่บริษัทได้ให้แก่เจ้าของข้อมูลส่วนบุคคลเช่นใบแจ้งเตือนการชำระค่างวดและใบเสร็จรับเงินเป็นต้น

หมวดที่ 4

หลักเกณฑ์ในการจัดเก็บ การใช้ และการทำลายข้อมูลส่วนบุคคล

1. การจัดเก็บข้อมูลส่วนบุคคล (Personal Data Retention)

บริษัทฯจะจัดเก็บข้อมูลส่วนบุคคลตราบเท่าที่จำเป็นโดยคำนึงถึงวัตถุประสงค์และความจำเป็นที่บริษัทจะต้องดำเนินการจัดเก็บรวบรวมและประมวลผล  ซึ่งรวมไปถึงการปฏิบัติตามข้อกำหนดของกฎหมายที่ใช้บังคับในเรื่องดังกล่าว บริษัทจะเก็บข้อมูลส่วนบุคคลไว้หลังระยะเวลาที่สัญญาที่เจ้าของข้อมูลส่วนบุคคล ได้ทำไว้กับบริษัทสิ้นผลบังคับระยะเวลาหนึ่ง และสอดคล้องตามระยะเวลาและอายุความของกฎหมายที่เกี่ยวข้อง โดยบริษัทจัดเก็บไว้ในสถานที่จัดเก็บที่เหมาะสมตามประเภทของข้อมูลส่วนบุคคล ทั้งนี้บริษัทจำเป็นต้องเก็บข้อมูลส่วนบุคคลต่อไปแม้จะพ้นกำหนดอายุความตามกฎหมายก็ตาม เช่น กรณีอยู่ระหว่างการดำเนินคดีหรือพิจารณาคดีตามกฎหมาย เป็นต้น โดยบริษัทฯกำหนดระยะเวลาในการจัดเก็บข้อมูลแต่ละประเภท ดังนี้

ประเภทของข้อมูล

เงื่อนไขเริ่มระยะเวลาจัดเก็บ

ระยะเวลาในการจัดเก็บ

การดำเนินงาน

เหตุผลในการจัดเก็บและกฎหมายที่เกี่ยวข้อง

ข้อมูลลูกค้าของบริษัทฯ

สิ้นสุดสัญญา

11 ปี (อายุความ10 ปี+ ระยะเวลาตั้งต้นคดี1 ปี)

ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป

สิทธิและหน้าที่ตามสัญญาซื้อขาย

ข้อมูลจากลูกค้าที่ยังไม่มีนิติสัมพันธ์กับ

บริษัทฯ (Lead)

กิจกรรมล่าสุด

(Last activity)

5 ปี

ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป

ดำเนินกิจกรรมทางการตลาด

ผู้สมัครงานที่ไม่ได้รับเลือกจากบริษัทฯ

สิ้นสุดขั้นตอนการพิจารณารับสมัครงาน

2 ปี

ลบ/ทำลาย

ข้อมูลพนักงานและข้อมูลอื่นๆที่เกี่ยวเนื่อง

สิ้นสุดสัญญาจ้าง

11 ปี (อายุความ10 ปี+ ระยะเวลาตั้งต้นคดี1 ปี)

ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป

...คุ้มครองแรงงาน ม.115

ประเภทของข้อมูล

เงื่อนไขเริ่มระยะเวลาจัดเก็บ

ระยะเวลาในการจัดเก็บ

การดำเนินงาน

เหตุผลในการจัดเก็บและกฎหมายที่เกี่ยวข้อง

ข้อมูลตัวแทน

สิ้นสุดสัญญาตัวแทน

11 ปี (อายุความ10 ปี+ ระยะเวลาตั้งต้นคดี1 ปี)

ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป

...คุ้มครองแรงงาน ม.115

สัญญาค้ำประกันของพนักงาน

สิ้นสุดสัญญา

11 ปี (อายุความ10 ปี+ ระยะเวลาตั้งต้นคดี1 ปี)

ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป

ปฏิบัติตามสัญญา ใช้สิทธิเรียกร้องตามสัญญา

ข้อมูลของบุคคลที่เกี่ยวเนื่องกับการเรียกร้องต่อบริษัท(การดำเนินคดี)

คดีถึงที่สิ้นสุด

(เช่นการได้รับคำพิพากษาถึงที่สุดการประนีประนอมยอมความการถอนฟ้อง)

10 ปี (ระยะเวลาบังคับคดี)

ลบ/ทำลาย

ประมวลกฎหมายวิธีพิจารณาความแพ่งภาค4 ลักษณะ2 การบังคับตามคำพิพากษาหรือคำสั่ง

ข้อมูลของคู่ค้าที่ไม่มีนิติสัมพันธ์กับบริษัท

กิจกรรมล่าสุด

(Last Activity)

3 ปี

ลบ/ทำลาย

เพื่อใช้พิจารณาผู้ให้บริการ/ทำใบเสนอราคา

ข้อมูลลูกค้าของบริษัท

สิ้นสุดสัญญา

11 ปี (อายุความ10 ปี+ ระยะเวลาตั้งต้นคดี1 ปี)

ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป

ปฏิบัติตามสัญญา ใช้สิทธิเรียกร้องตามสัญญา

ข้อมูลเพื่อความปลอดภัยสำหรับการบริหารธุรกิจรายวัน

วันที่มีการเก็บรวบรวมข้อมูล

3 เดือน (อายุความคดีอาญา)

ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป

รักษาความปลอดภัยใช้ในการดำเนินคดี ให้ความร่วมมือตามหมายเรียก

ประเภทของข้อมูล

เงื่อนไขเริ่มระยะเวลาจัดเก็บ

ระยะเวลาในการจัดเก็บ

การดำเนินงาน

เหตุผลในการจัดเก็บและกฎหมายที่เกี่ยวข้อง

Guest Wifi

สิ้นสุดการใช้งาน

90 วัน

ลบ/ทำลาย

รักษาความปลอดภัย ใช้ในการดำเนินคดีให้ความร่วมมือตามหมายเรียก พรบ. การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ..2550

ข้อมูลเพื่อความปลอดภัยในด้านระบบโครงสร้าง

วันที่มีการเก็บรวบรวมข้อมูล

120 วัน

ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป

รักษาความปลอดภัย ใช้ในการดำเนินคดีให้ความร่วมมือตามหมายเรียก พรบ. การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ..2550

เอกสารที่มีข้อมูลทางด้านภาษี

เมื่อครบรอบปีภาษีนั้นๆ

11 ปี (อายุความ10 ปี+ ระยะเวลาตั้งต้นคดี1 ปี)

ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป

ประมวลรัษฎากร

ทั้งนี้บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลตามมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค(Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) เพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลข้อมูลส่วนบุคคลที่เหมาะสม หมายความว่ามีการธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน(Integrity) และข้อมูลอยู่ในลักษณะที่พร้อมใช้งาน (Availability) และเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล

นอกจากนี้บริษัทยังได้กำหนดให้พนักงาน บุคลากร ตัวแทน และผู้รับข้อมูลจากบริษัทมีหน้าที่รักษาข้อมูลส่วนบุคคลไว้เป็นความลับและมีความปลอดภัยตามมาตรการที่บริษัทกำหนด  เมื่อต้องการมีการดำเนินการใดๆกับข้อมูลส่วนบุคคล

หมายเหตุ การจัดเก็บข้อมูลอื่นๆนอกเหนือจากที่ระบุตามตารางบริษัทฯจะทำการจัดเก็บเท่าที่จำเป็น

  1. การใช้ข้อมูลส่วนบุคคล(Personal Data Usage)

2.1 ให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลดูแลเรื่องการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามนโยบายของบริษัท รวมทั้งกฎหมายและกฎเกณฑ์ที่เกี่ยวข้องทั้งนี้หากมีข้อสงสัยข้อซักถามหรือมีกรณีที่ต้องขอความเห็น หรือต้องให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลดำเนินการใดๆสามารถติดต่อได้ตามช่องทางดังนี้ อีเมล์หน่วยงาน Data Protection Officer : [email protected]

2.2 ห้ามพนักงานเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล นอกเหนือจากวัตถุประสงค์และฐานการประมวลผลซึ่งบริษัทได้ระบุไว้ในบันทึกรายการและการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity – ROPA)

2.3 ฐานการประมวลผลข้อมูลส่วนบุคคลของบริษัทจะต้องเป็นไปตามพ...คุ้มครองข้อมูลส่วนบุคคลโดยฐานในการประมวลผลข้อมูลส่วนบุคคลประกอบด้วย

(1) ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

(2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกายหรือสุขภาพของบุคคล

(3) เพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลเป็นผู้สัญญาหรือเพื่อให้ใช้ในการดำเนินการตาม  คำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญา

(4) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ

(5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท

(6) เป็นการจำเป็นที่บริษัทต้องปฏิบัติตามกฎหมาย

2.4 เก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการข้อมูลพันธุกรรมข้อมูลชีวภาพหรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในลักษณะเดียวกัน จะต้องพิจารณาฐานในการประมวลผลข้อมูลส่วนบุคคลดังกล่าวซึ่งประกอบด้วย

(1) ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล

(2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกายหรือสุขภาพของบุคคล

(3) เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไร

(4) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล

(5) เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย

(6) เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ

เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของพนักงานการวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม

ประโยชน์สาธารณะด้านการสาธารณสุขเช่นการป้องกันสุขภาพจากโรคติดต่ออันตรายหรือโรคระบาดที่จะติดต่อหรือแพร่เข้ามาในราชอาณาจักร

การคุ้มครองแรงงาน ประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิ์ตามกฎหมายการคุ้มครองผู้ประสบภัยจากรถ หรือการคุ้มครองทางสังคม

การศึกษาวิจัยทางวิทยาศาสตร์ประวัติศาสตร์หรือสถิติหรือประโยชน์สาธารณะอื่นทั้งนี้ต้องกระทำเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จำเป็นเท่านั้น

ประโยชน์สาธารณะที่สำคัญโดยให้จัดให้มีการมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

2.5 ในกรณีที่พนักงานมีความจำเป็นต้องเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่เป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะ(อายุยังไม่ครบยี่สิบปีบริบูรณ์) หรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว การขอความยินยอมจากเจ้าของข้อมูลให้พนักงานดำเนินการดังต่อไปนี้

(1) กรณีเจ้าของข้อมูลเป็นผู้เยาว์ที่มีอายุต่ำกว่า10ปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์

(2) กรณีเจ้าของข้อมูลเป็นผู้เยาว์ที่มีอายุเกิน 10 ปีแต่ไม่เกิน 20 ปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์และผู้เยาว์

(3) กรณีเจ้าของข้อมูลเป็นคนไร้ความสามารถ ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ

(4) กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ

2.6 ห้ามไม่ให้พนักงานทำการเก็บรวบรวม  ใช้หรือเปิดเผยข้อมูลส่วนบุคคลแตกต่างจากวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลไว้ก่อนหรือในขณะที่เก็บรวบรวมเว้นแต่ได้แจ้งวัตถุประสงค์ใหม่นั้นให้เจ้าของข้อมูลทราบหากมีการพิจารณาในการใช้ฐานความยินยอมบริษัทฯได้รับความยินยอมก่อนเก็บรวบรวมใช้หรือเปิดเผยแล้ว

2.7 ในการเก็บรวบรวมข้อมูลส่วนบุคคล ให้พนักงานแจ้งรายละเอียดต่อไปนี้ต่อเจ้าของข้อมูลรับทราบ

(1) วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย

(2) แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา รวมทั้งแจ้งถึงผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล

(3) ข้อมูลส่วนบุคคลที่จะมีการเก็บรวม รวมถึงระยะเวลาในการเก็บรวบรวมไว้ ในกรณีที่ไม่สามารถกำหนดระยะเวลาดังกล่าวได้ชัดเจน  ให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม

(4) บุคคลหรือหน่วยงานของพนักงานซึ่งเป็นผู้รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล

(5) แจ้งข้อมูลสถานที่ติดต่อ และวิธีการติดต่อกลับมายังบริษัท

(6) สิทธิของเจ้าของข้อมูลส่วนบุคคล

2.8 ห้ามมิให้พนักงานทำการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น ที่ไม่ใช่จากเจ้าของข้อมูล

โดยตรง เว้นแต่ได้แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลทราบภายในสามสิบวันนับแต่วันที่เก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูล

2.9 ในการประมวลผลข้อมูลส่วนบุคคล พนักงานจะต้องคำนึงถึงความมั่นคงปลอดภัยสารสนเทศและข้อมูลส่วนบุคคล ซึ่งรวมถึง การธำรงไว้ซึ่งความลับ(Confidentiality) ความถูกต้องครบถ้วน(Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคลอยู่เสมอ เพื่อการป้องกันการประมวลผลข้อมูลส่วนบุคคลโดยผู้ที่ไม่มีสิทธิ การลบหรือทำลายข้อมูลทั้งโดยความตั้งใจและไม่ตั้งใจและรวมถึงการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศให้อยู่ในระดับที่องค์กรยอมรับได้

2.10 พนักงานจะต้องรักษาอุปกรณ์ที่สามารถเข้าถึงข้อมูลส่วนบุคคลมิให้สูญหาย หรือถูกทำลาย และห้ามมิให้บุคคลอื่นที่ไม่มีสิทธิใช้อุปกรณ์ดังกล่าว

2.11 พนักงานทราบดีว่าบริษัทมีการกำหนดสิทธิของพนักงานในการเข้าถึงข้อมูลส่วนบุคคลพนักงานต้องเคารพสิทธิปกครองบุคคลอื่น และไม่เข้าถึงข้อมูลส่วนบุคคลที่ตนไม่มีสิทธิ์ หากพนักงานต้องการเข้าถึงข้อมูลส่วนบุคคลที่ตนไม่มีสิทธิ์พนักงานต้องดำเนินการขอสิทธิเพื่อเข้าถึงข้อมูลนอกเหนือจากที่กำหนดไว้ตามวิธีการที่บริษัทกำหนด

2.12 ห้ามมิให้พนักงานเปิดเผยบัญชีผู้ใช้ (Username) และรหัสผ่าน(Password) ที่บริษัทจัดให้สำหรับเข้าระบบฐานข้อมูลต่างๆแก่บุคคลอื่นได้ด้วยวิธีการใดๆเด็ดขาด

2.13 ห้ามมิให้พนักงาน คัดลอก ลอกเลียน ดัดแปลง ปลอมแปลง ขาย จำหน่าย จ่าย โอน ให้เช่า เรียกดึงข้อมูล บันทึก ส่งผ่าน หรือกระทำการใดๆ ต่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลโดยไม่เป็นไปตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทโดยเด็ดขาด

2.14 พนักงานต้องใช้ความระมัดระวังในการดูแลข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้ปลอดภัยจากการสูญหายเปลี่ยนแปลงแก้ไข รั่วไหล ถูกโจรกรรม ถูกเปิดเผยโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงต้องทบทวนวิธีการดูแลรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามบริบทหรือเทคโนโลยีที่เปลี่ยนแปลงไปอยู่เสมอ ทั้งนี้ในการเก็บรักษาข้อมูลส่วนบุคคลไม่ว่าจะเป็นรูปแบบของ Hard Copy หรือ Soft file พนักงานจะต้องปฏิบัติตามวิธีการจัดเก็บเอกสารเพื่อความปลอดภัยตามที่บริษัทกำหนด

2.15 พนักงานต้องทำการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลในส่วนที่ตนรับผิดชอบเมื่อพ้นกำหนดระยะเวลาเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลร้องขอหรือได้ถอนความยินยอมทั้งนี้ตามนโยบายการเก็บรักษาข้อมูลส่วนบุคคล และนโยบายการทำลายข้อมูลส่วนบุคคล

2.16 พนักงานต้องปฏิบัติตามนโยบายที่เกี่ยวข้องอย่างเคร่งครัดเพื่อให้บริษัทสามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึงเปลี่ยนแปลง ลบ หรือ ถ่ายโอนข้อมูลส่วนบุคคล

2.17 ในกรณีที่บริษัทเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งของบุคคลอื่น พนักงานจะต้องปฏิบัติตามคำสั่งเป็นลายลักษณ์อักษรของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้นเว้นแต่คำสั่งนั้นจะขัดหรือแย้งกับกฎหมายและจะไม่ดำเนินการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกจากวัตถุประสงค์ซึ่งข้อมูลส่วนบุคคลนั้นได้ถูกเปิดเผยให้แก่บริษัทในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล และพนักงานมีหน้าที่ในการรักษาความลับและหน้าที่อื่นๆ ตามที่กำหนดไว้ในสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและบริษัท รวมถึงหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตาม พ...คุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด

2.18 หากพนักงานคนใดทราบถึงการละเมิดข้อมูลส่วนบุคคลของบริษัทพนักงานผู้นั้นจะต้องรายงานเหตุการณ์ที่เกิดขึ้นแก่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือสายงานที่เกี่ยวข้องทันทีทั้งนี้รายงานดังกล่าวจะถูกเก็บเป็นความลับ

3. การลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด(Personal Data Disposal Policy)

บริษัทฯตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลจึงกำหนดให้มีการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดของข้อมูลส่วนบุคคลอย่างเหมาะสมและสอดคล้องกับการรักษาความลับของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหายการเข้าถึงทำลายใช้แปลงแก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมายรวมถึงการควบคุมให้ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการตามที่กำหนดนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของบริษัท

3.1 วิธีการจัดทำข้อมูลนิรนาม

1) การปิดทับข้อมูล(Masking) ดำเนินการเปลี่ยน ส่วนใดส่วนหนึ่งของข้อมูลโดยการใช้กลุ่มของตัวอักษรที่ได้จากการสุ่มหรือข้อมูลอื่นๆเช่น Hashing เพื่อเปลี่ยนข้อมูลและไม่สามารถที่จะให้ข้อมูลย้อนกลับมาระบุตัวตนของเจ้าของข้อมูลได้

2) การลดความชัดเจนของข้อมูล (Blurring or Noising) มีการใช้ข้อมูลโดยประมาณแทนที่ข้อมูลเดิม เพื่อลดความเฉพาะเจาะจงของข้อมูลลงหรือการใช้ Differential Privacy

3.2 กระบวนการลบข้อมูลส่วนบุคคล

พนักงานต้องทำการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลในส่วนที่ตนรับผิดชอบเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา  โดยการใช้เครื่องย่อยเอกสารหรือดำเนินการลบข้อมูลแบบที่ไม่สามารถกู้คืนข้อมูลได้ในกรณีที่เป็นเอกสารอิเล็กทรอนิกส์

4.บทกำหนดโทษ

กรณีพนักงานละเลยละเว้นไม่สั่งการไม่ดำเนินการหรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตนอันเป็นการฝ่าฝืนนโยบายฉบับนี้จนเป็นเหตุให้เกิดความเสียหายหรือผิดต่อกฎหมายต้องได้รับโทษทางวินัยตามระเบียบของบริษัทและโทษตามกฎหมายสำหรับความผิดที่เกิดขึ้นทั้งนี้หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัทและ/หรือ บุคคลอื่นในบริษัทอาจพิจารณาดำเนินคดีตามกฎหมายต่อไป

ทั้งนี้ให้มีผลตั้งแต่วันที่ 1 กรกฎาคม 2565 เป็นต้นไป   

         

                                                                                                

                                                               

นาย ภูมิ อยู่ภักดี

 

ประธานเจ้าหน้าที่บริหาร

บริษัท ภูริ เอสเตท จำกัด