1. หลักการและวัตถุประสงค์ 

บริษัท วัน-ทู-ออล จำกัด (“บริษัทฯ”) มีความมุ่งมั่นในการดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทฯ จึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) เพื่อให้การปฏิบัติงานของบริษัทฯ เป็นไปตามกฎหมาย และมาตรฐานสากลในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงกำหนดหลักเกณฑ์ในการให้ความคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล และมาตรการในการบริหารจัดการ การละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคลที่มีประสิทธิภาพและเหมาะสม 

2. ขอบเขตการบังคับใช้ 

นโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ฉบับนี้ มีขอบเขตการบังคับใช้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลทั้งหมดที่ดำเนินการโดยบริษัทฯ รวมถึงบุคคลใด ๆ ซึ่งล่วงรู้ข้อมูลส่วนบุคคลเนื่องจากเกี่ยวข้องกับการดำเนินงานของบริษัทฯ ซึ่งจะต้องปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และตามกรอบที่กฎหมายกำหนด 

สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ ให้บริษัทฯ สามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นได้ต่อไปตามวัตถุประสงค์เดิม โดยการเปิดเผยและการดำเนินการอื่นที่ไม่ใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลข้างต้นให้ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 

3. คำจำกัดความ 

“นโยบายคุ้มครองข้อมูลส่วนบุคคล” (Personal Data Protection Policy) หมายความว่า นโยบายที่บริษัทฯ จัดทำเพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงการประมวลผลข้อมูลของบริษัท และรายละเอียดต่าง ๆ ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดไว้ 

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ 

“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” (Sensitive data) หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลสุขภาพ ความพิการ ข้อมูลสุขภาพจิต เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสหภาพแรงงาน หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด 

“การประมวลผล” หมายความว่า การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล 

“เจ้าของข้อมูลส่วนบุคคล” (Data Subject) หมายความว่า บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล 

“ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือนิติบุคคลอื่นซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล 

“ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลที่ดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล 

“คุกกี้” (Cookies) หมายความว่า ไฟล์คอมพิวเตอร์ขนาดเล็ก ที่จะเก็บข้อมูลส่วนบุคคลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของเจ้าของข้อมูลส่วนบุคคล เพื่อความสะดวกและรวดเร็วในการติดต่อสื่อสารซึ่งจะมีผลในขณะที่เข้าใช้งานระบบเว็บไซต์เท่านั้น 

4. บทบาทและหน้าที่ความรับผิดชอบ 

4.1 บทบาทและหน้าที่ความรับผิดชอบของบริษัทฯ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในกรณีที่บริษัทฯ เป็นผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล 

บทบาทหน้าที่ความรับผิดชอบ 

ผู้ควบคุมข้อมูลส่วนบุคคล

- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกัน การสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยขัดต่อกฎหมาย รวมถึงทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป 

- ดำเนินการเพื่อป้องกันไม่ให้ผู้รับข้อมูลส่วนบุคคลที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยขัดต่อกฎหมาย 

- จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูล ส่วนบุคคลตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด 

- แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า - บันทึกรายการตามที่กำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 

- จัดให้มีข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ในกรณีที่มีการมอบหมายการประมวลผลข้อมูลส่วนบุคคลให้ผู้ประมวลผลข้อมูลส่วนบุคคล 

- แจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ 

- จัดให้มีและสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล 

ผู้ประมวลผลข้อมูลส่วนบุคคล

- ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 

- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยขัดต่อกฎหมาย 

- แจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่ผู้ควบคุมข้อมูลส่วนบุคคล 

- จัดทำและเก็บรักษาบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล 

- แจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ ให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ 

- จัดให้มีและสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคล 

 4.2 บทบาทและหน้าที่ความรับผิดชอบของผู้บริหาร เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พนักงาน และลูกจ้างของบริษัทฯ 

บทบาทหน้าที่ความรับผิดชอบ 

ผู้บริหาร

- ปฏิบัติ สอบทาน และติดตามการปฏิบัติงานของพนักงาน และลูกจ้างให้เป็นไปตามนโยบาย 

พนักงาน และลูกจ้าง

- ปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด 

เจ้าหน้าที่คุ้มครอง

- ให้คำแนะนำ บริหารจัดการ และตรวจสอบการดำเนินงานเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 

- รายงานไปยังผู้บริหารสูงสุด เมื่อมีปัญหาในการปฏิบัติหน้าที่ 

- ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 

- แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคลโดยไม่ชักช้า ตามหลักเกณฑ์ที่บริษัทฯ กำหนดโดยไม่ขัดต่อกฎหมาย 

- จัดทำและทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล 

- รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจาก การปฏิบัติหน้าที่ 

- ปฏิบัติหน้าที่หรือภารกิจอื่นโดยไม่ขัดต่อกฎหมาย 

5. การเก็บรวบรวมข้อมูลส่วนบุคคล 

บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ข้อมูลเฉพาะบุคคล ข้อมูลที่เกี่ยวข้องกับชีวิตส่วนตัว หรือความสนใจส่วนบุคคล ข้อมูลทางการเงิน ข้อมูลส่วนบุคคลที่มีความอ่อนไหว โดยมีแหล่งที่มา และหลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล ดังต่อไปนี้ 

5.1 แหล่งที่มาของข้อมูลส่วนบุคคล 

บริษัทฯ อาจได้รับข้อมูลส่วนบุคคลจาก 2 ช่องทาง ดังนี้ 

5.1.1 เก็บรวบรวมโดยตรงจากเจ้าของข้อมูลส่วนบุคคล เช่น การเก็บข้อมูลส่วนบุคคลจากการกรอกข้อมูลส่วนบุคคลผ่านแบบฟอร์มการสมัครใช้บริการทั้งในรูปแบบกระดาษและรูปแบบออนไลน์ การตอบแบบสอบถาม (Survey) ของบริษัทฯ หรือการเข้าใช้งานระบบเว็บไซต์ของบริษัทฯ ผ่านคุกกี้ (Cookies) 

5.1.2 เก็บรวบรวมจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เช่น การสืบค้นข้อมูลส่วนบุคคลผ่านระบบเว็บไซต์ หรือการสอบถามจากบุคคลที่สาม โดยบริษัทฯ จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งดังกล่าว รวมถึงจะดำเนินการขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอมหรือแจ้งเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด 

ทั้งนี้ บริษัทฯ อาจทำการเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ข้อมูลเฉพาะบุคคล : ชื่อ วันเดือนปีเกิด สัญชาติ หมายเลขบัตรประจำตัวประชาชนหรือหมายเลขหนังสือเดินทาง หรือเอกสารราชการอื่น ๆ ที่สามารถระบุตัวตนได้ 

ข้อมูลสำหรับการติดต่อ : ที่อยู่ อีเมล์ หมายเลขโทรศัพท์ หมายเลขโทรสาร 

ข้อมูลประวัติการทำงาน : สถานะวิชาชีพ ตำแหน่งงาน 

ข้อมูลที่เกี่ยวเนื่องกับการใช้งานเว็บไซต์ : Username และ Password สำหรับใช้บริการผ่านออนไลน์และแอพพลิเคชั่น ข้อมูล IP address 

ข้อมูลคุกกี้ (Cookies) 

ข้อมูลเกี่ยวกับการสำรวจทางการตลาด : ข้อมูลวิเคราะห์สถิติทางการตลาดของเจ้าของข้อมูล 

ข้อมูลอ่อนไหว : ข้อมูลศาสนา ข้อมูลสุขภาพ ประวัติอาชญากรรม 

ข้อมูลอุปกรณ์ และข้อมูลตำแหน่งของอุปกรณ์ : ระบบจีพีเอส 

ข้อมูลภาพวิดีทัศน์กล้องวงจรปิด 

บทสนทนา และการสื่อสารทางโทรศัพท์ หรืออุปกรณ์อิเล็กทรอนิกส์ 

5.2 หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล 

5.2.1 บริษัทฯ จะเก็บข้อมูลส่วนบุคคลที่จำเป็นต่อการดำเนินงานของบริษัทฯ เท่านั้น ทั้งนี้ บริษัทฯ อาจมีวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่แตกต่างกันไปตามแต่กรณี เช่น 

•เพื่อการเข้าทำสัญญาและปฏิบัติตามสัญญาระหว่างบริษัทฯ กับเจ้าของข้อมูลส่วนบุคคล

•เพื่อยืนยันตัวตนหรือตรวจสอบบุคคลก่อนจะให้บริการหรือเข้าทำสัญญากับบริษัทฯ 

•เพื่อตอบคำถามและให้ความช่วยเหลือแก่ลูกค้า 

•เพื่อพัฒนาและปรับปรุงผลิตภัณฑ์ของบริษัทฯ ให้ตอบสนองต่อความต้องการของลูกค้ามากยิ่งขึ้น 

•เพื่อให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ การบริการ หรือประชาสัมพันธ์ทางการตลาดผ่านทางช่องทางการติดต่อที่ได้รับจากลูกค้า 

•เพื่อการปฏิบัติตามกฎหมายที่เกี่ยวข้องกับการดำเนินงานของบริษัทฯ อาทิ การจัดเก็บข้อมูลเพื่อใช้ในการหักภาษี ณ ที่จ่าย การตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า ซึ่งเป็นส่วนหนึ่งของการปฏิบัติตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน 

•เพื่อให้ข้อมูลแก่หน่วยงานราชการตามที่กฎหมายกำหนด หรือ ตามที่หน่วยงานของรัฐร้องขอ อาทิ สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สำนักงานตำรวจแห่งชาติ หรือ สำนักงานป้องกันและปราบปรามการฟอกเงิน 

•เพื่อวัตถุประสงค์ในการตรวจสอบต่าง ๆ การวิเคราะห์และจัดทำเอกสารตามคำร้องขอของหน่วยงาน หรือ องค์กรอื่นใดที่เกี่ยวข้องหรืออาจเกี่ยวกับการดำเนินธุรกิจของ บริษัทฯ อาทิ ธนาคารแห่งประเทศไทย 

•เพื่อประโยชน์ในการบริหารจัดการภายในของบริษัทฯ เช่น เพื่อการจ่ายเงินเดือนและค่าตอบแทนต่าง ๆ แก่พนักงาน ลูกจ้าง และผู้ฝึกหัดงานของบริษัทฯ เพื่อการเข้าทำสัญญาจ้างแรงงานกับบริษัท เพื่อการบริหารจัดการบุคลากรภายในของบริษัท และการมอบสวัสดิการแก่พนักงาน ลูกจ้างของบริษัทฯ 

5.2.2 ในกรณีเจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา หรือต้องให้ข้อมูลด้วยประการอื่นใด หากเจ้าของข้อมูลไม่ให้ข้อมูลเช่นว่านั้น อาจส่งผลให้ธุรกรรมหรือกิจกรรมอื่นใดที่เกี่ยวข้องกับเจ้าของข้อมูลส่วนบุคคลถูกระงับ หรือหยุดลงชั่วคราว จนกว่าบริษัทฯจะได้รับข้อมูลของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เนื่องจากบริษัทฯ ไม่สามารถประมวลผลข้อมูลเหล่านั้นได้ หรือ กฎหมายกำหนดห้ามมิให้มีการดำเนินธุรกรรมหรือกิจกรรมนั้นอีกต่อไป เป็นต้น 

5.2.3 บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล โดยบริษัทฯ จะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ในกรณีดังต่อไปนี้ บริษัทฯ สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม 

1) เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ โดยบริษัทฯ จะจัดให้มีมาตรการป้องกันเหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล 

2) เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล 

3) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา 

4) เป็นการจำเป็นเพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบหมายให้แก่บริษัทฯ 

5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ หรือของบุคคลหรือนิติบุคคลอื่น เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของ เจ้าของข้อมูลส่วนบุคคล 

6) เพื่อปฏิบัติตามกฎหมาย เช่น พระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิต พ.ศ. 2559 ประมวลกฎหมายแพ่งและพาณิชย์ หรือประมวลกฎหมายอาญา เป็นต้น 

5.2.4 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว บริษัทฯ จะต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อน หรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวดังกล่าว ตามหลักเกณฑ์ที่บริษัทฯ กำหนดโดยไม่ขัดต่อกฎหมาย 

6. การใช้และการเปิดเผยข้อมูลส่วนบุคคล 

การใช้และการเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ มีวัตถุประสงค์และหลักการดำเนินการที่สอดคล้องตามข้อ 5.2 หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล โดยบริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นให้แก่หน่วยงานหรือบุคคลภายนอกภายใต้ความยินยอมของเจ้าของข้อมูลส่วนบุคคลนั้น เว้นแต่จะได้กระทำภายในกรอบที่กฎหมายให้อำนาจไว้ ทั้งนี้ ข้อมูลส่วนบุคคลอาจถูกเปิดเผยให้แก่บุคคลภายนอก องค์กร หรือหน่วยงานของรัฐ ดังต่อไปนี้ 

1) บริษัทในเครือ หรือบริษัทในกลุ่ม 

2) คู่สัญญา ผู้ให้บริการ และพันธมิตรทางธุรกิจของบริษัทฯ  

3) ผู้แทนจำหน่าย 

4) หน่วยงานซึ่งดำเนินงานด้านข้อมูลเครดิต 

5) ธนาคาร 

6) หน่วยงานของรัฐซึ่งมีอำนาจหน้าที่ตามกฎหมาย เช่น สำนักงานป้องกันและปราบปรามการฟอกเงิน สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สำนักงานคณะกรรมการป้องกันและปราบปรามยาเสพติด สำนักงานประกันสังคม กรมสรรพากร กรมบังคับคดี ศาล 

7) หน่วยงาน หรือองค์กรอื่นใดที่เกี่ยวข้องหรืออาจเกี่ยวกับการดำเนินธุรกิจของบริษัท ฯ อาทิ ธนาคารแห่งประเทศไทย 

7. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล 

บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาดังต่อไปนี้ 

7.1 ตามระยะเวลาที่กฎหมายกำหนดเกี่ยวกับการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ เช่น พระราชบัญญัติการบัญชี พ.ศ. 2543 พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ประมวลรัษฎากร 

7.2 ในกรณีที่กฎหมายไม่ได้กำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ บริษัทฯ จะกำหนดระยะเวลาในการจัดเก็บตามความจำเป็นที่เหมาะสมในการปฏิบัติงานของบริษัทฯ 

เมื่อพ้นระยะเวลาการเก็บรักษาดังกล่าว บริษัทฯ จะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ 

8. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ 

ในกรณีที่บริษัทฯ ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทฯ จะดำเนินการเพื่อให้มั่นใจว่าประเทศปลายทางดังกล่าวมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ 

อย่างไรก็ดี ในกรณีที่ประเทศปลายทางไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ การส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวจะต้องเป็นไปตามข้อยกเว้นตามหลักเกณฑ์ที่บริษัทฯ กำหนดโดยไม่ขัดต่อกฎหมาย 

9. สิทธิของเจ้าของข้อมูลส่วนบุคคล 

นโยบายนี้ได้จัดทำขึ้นเพื่อทำให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าสามารถการใช้สิทธิดังต่อไปนี้ที่มีอยู่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ 

1) สิทธิในการเพิกถอนความยินยอม (right to withdraw consent): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมกับบริษัทฯ ได้ ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอยู่กับบริษัทฯ 

2) สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of access): เจ้าของข้อมูลส่วนบุคคลมสีิทธิในการเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและขอให้บริษัทฯ ทำสำเนาข้อมูลส่วนบุคคลดังกล่าว รวมถึงขอให้บริษัทฯ เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมต่อบริษัทฯ ให้แก่เจ้าของข้อมูลส่วนบุคคลได้ 

3) สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้บริษัทฯ แก้ไขข้อมูลที่ไม่ถูกต้อง หรือ เพิ่มเติมข้อมูลที่ไม่สมบูรณ์ 

4) สิทธิในการลบข้อมูลส่วนบุคคล (right to erasure): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้บริษัทฯ ทำการลบข้อมูลของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุบางประการได้ 

5) สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุบางประการได้ 

6) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการโอนย้ายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลให้ไว้กับบริษัทฯ ไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือ ตัวเจ้าของข้อมูลส่วนบุคคลเองด้วยเหตุบางประการได้ 

7) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุบางประการได้ 

อย่างไรก็ดี บริษัทฯ อาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของข้อมูลส่วนบุคคลได้ตามหลักเกณฑ์ที่บริษัทฯ กำหนด โดยไม่ขัดต่อกฎหมาย 

บริษัทฯ จะจัดให้มีช่องทางเพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อมายังบริษัทฯ เพื่อดำเนินการยื่นคำร้องขอดำเนินการตามสิทธิข้างต้นได้ ในกรณีที่บริษัทฯ ปฏิเสธคำร้องขอข้างต้น บริษัทฯ จะแจ้งเหตุผลของการปฏิเสธให้เจ้าของข้อมูลส่วนบุคคลทราบ 

เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่บริษัทฯ ผู้ประมวลผลข้อมูลส่วนบุคคล ลูกจ้างหรือ ผู้รับจ้างของบริษัท ฝ่าฝืนไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือประกาศที่ออกตามพระราชบัญญัติดังกล่าว 

 10. การรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคล 

บริษัทฯ กำหนดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยขัดต่อกฎหมาย ซึ่งสอดคล้องกับนโยบายและวิธีปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศของบริษัทฯ 

ในกรณีที่บริษัทฯ ได้ว่าจ้างหน่วยงานหรือบุคคลภายนอกให้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล บริษัทฯ จะกำหนดให้หน่วยงานหรือบุคคลภายนอกดังกล่าว เก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับ และรักษาความปลอดภัยของข้อมูลส่วนบุคคลดังกล่าว รวมถึงป้องกันมิให้นำข้อมูลส่วนบุคคลไปเก็บรวบรวม ใช้ หรือเปิดเผย เพื่อการอื่นใดที่ไม่เป็นไปตามขอบเขตการว่าจ้าง หรือขัดต่อกฎหมาย 

11. การทบทวนและปรับปรุงนโยบาย 

บริษัทฯ จะจัดให้มีการทบทวนและปรับปรุงนโยบายฉบับนี้อย่างน้อยปีละหนึ่งครั้ง หรือเมื่อเกิดเหตุการณ์เปลี่ยนแปลงที่มีผลกระทบต่อนโยบายอย่างมีนัยสำคัญ 

12. ช่องทางการติดต่อ 

รายละเอียดผู้ควบคุมข้อมูลส่วนบุคคล 

บริษัท วัน-ทู-ออล จำกัด เลขที่ 359, 361, 363 ถนนประชาอุทิศ แขวงห้วยขวาง เขตห้วยขวาง กรุงเทพมหานคร รหัสไปรษณีย์ 10310 Call Center 1605 โทรศัพท์ 02-690-3626 โทรสาร 02-690-3660 Email: contact@1-to-all.com 

วัตถุประสงค์ : เพื่อให้ข้อมูลส่วนบุคคลของลูกค้า คู่ค้า ผู้มาติดต่องาน หรือ บุคคลภายนอกที่เกี่ยวข้อง ได้รับ การเก็บรักษาอย่างถูกต้อง ปลอดภัย และใช้งานโดยสุจริต และเพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ.2562 บริษัทฯ จึงกําหนดนโยบายและระเบียบปฏิบัติให้พนักงานที่เกี่ยวข้องปฏิบัติตาม อย่างเคร่งครัดดังต่อไปนี้

1. คําจํากัดความและขอบเขตของข้อมูล

1.1 ลูกค้า (Customer) หมายถึง บุคคลทั่วไปที่ซื้อสินค้า หรือ ใช้บริการของบริษัท

1.2 คู่ค้า (Supplier) หมายถึง บริษัท ห้างร้าน / บุคคล ที่ซื้อ ขายสินค้า หรือ บริการให้กับบริษัท

1.3 ผู้มาติดต่องาน (Visitor) หมายถึง บุคคลภายนอกที่เข้ามาติดต่องาน มาเยี่ยมชม หรือ มาตรวจสอบใด ๆ กับบริษัทฯที่นอกเหนือจากการซื้อ-ขายสินค้าบริการ

1.4 ข้อมูลส่วนบุคคลของลูกค้า คู่ค้า ผู้มาติดต่องาน ที่ได้รับการคุ้มครองตามนโยบายนี้ คือ

1.4.1 ชื่อลูกค้า ชื่อกรรมการ หรือชื่อผู้ติดต่องานรายบุคคล

1.4.2 ที่อยู่ ทั้งที่เป็นนิติบุคคลและบุคคลธรรมดา

1.4.3 หมายเลขโทรศัพท์ อีเมล ไอดีไลน์ นามบัตร

1.4.4 เลขที่บัตรประชาชน

1.4.5 รายการ และ ราคาสินค้าที่ซื้อ หรือ ขาย

1.4.6 แหล่งผลิต หรือ แหล่งส่งต่อ ของสินค้าหรือบริการ

1.4.7 ข้อมูลส่วนบุคคลอื่นใดที่กรรมการผู้จัดการกําหนด

2. นโยบายการเก็บรักษา ใช้ ข้อมูลส่วนบุคคลของลูกค้า คู่ค้าหรือ ผู้มาติดต่องาน

2.1 บริษัทฯให้ความเคารพสิทธิส่วนบุคคลของลูกค้า คู่ค่าและผู้มาติดต่องานอย่างสูงสุด

2.2 บริษัทฯจะขอข้อมูลส่วนบุคคลเท่าที่จําเป็นในการทําธุรกิจร่วมกัน หรือ ตามที่กฎหมาย หรือ ตามที่องค์กร หน่วยงานที่เกี่ยวข้องกําหนดเท่านั้น

2.3 บริษัทฯ จะจัดให้มีการเก็บรักษาข้อมูลอย่างรัดกุม ปกปิด และเป็นความลับ

2.4 บริษัทฯ กําหนดหน้าที่ของผู้เก็บข้อมูล ผู้ประมวลผลข้อมูล ผู้รักษา ผู้ใช้ ผู้อนุมัติการใช้ รวมถึงขั้นตอนการตรวจสอบ การเข้าถึง อย่างชัดเจน เพื่อให้มั่นใจว่าข้อมูลเหล่านั้นได้รับการเก็บรักษาเป็นความลับ ปลอดภัยและใช้งานโดยสุจริต

2.5 ลูกค้า คู่ค้า หรือผู้มาติดต่องาน ที่เป็นเจ้าของข้อมูล มีสิทธิในการขอดู ตรวจสอบ เข้าถึงข้อมูลนั้นได้ทันทีตลอดเวลาที่มีการเก็บรักษา รวมถึงมีหน้าที่แจ้งข้อมูลเพิ่มเติมในกรณีที่มีการเปลี่ยนแปลงข้อมูลส่วนบุคคล หรือ นําส่งข้อมูลในกรณีที่บริษัทฯ หรือ หน่วยงานที่เกี่ยวข้องร้องขอเพิ่มเติม

2.6 ลูกค้า คู่ค้า หรือ ผู้มาติดต่องาน ที่เป็นชาวต่างชาติ ให้เก็บ รักษา และใช้ข้อมูลเช่นเดียวกับคนไทย

2.7 ในกรณีบุคคลหรือหน่วยงานภายนอก หรือหน่วยงานราชการ ต้องการข้อมูลของลูกค้า คู่ค้า หรือ ผู้มาติดต่องาน ให้มีหมายศาลหรือหนังสือราชการที่เกี่ยวข้องมาแสดงต่อกรรมการผู้จัดการหรือผู้ควบคุมข้อมูลพิจารณาอนุมัติก่อนทุกครั้ง

2.8 การส่งข้อมูลของลูกค้า คู่ค้า ผู้มาติดต่องานให้หน่วยราชการตามรอบปกติหรือตามที่กฎหมายกําหนด เช่น ส่งให้สรรพากร ให้ส่งเป็นความลับได้ตามปกติและบันทึกการส่งไว้เพื่อการตรวจสอบ

2.9 กรณีที่หน่วยราชการ หรือ หน่วยงานที่เกี่ยวข้องกับการตรวจสอบ เช่น ผู้ตรวจสอบบัญชี ผู้ตรวจสอบระบบคุณภาพ ให้แสดงเป็นความลับได้ตามปกติและบันทึกการตรวจสอบไว้เพื่อเป็นหลักฐาน

2.10 การส่งข้อมูลของลูกค้า คู่ค้า ผู้มาติดต่องานไปยังต่างประเทศ ให้กรรมการผู้จัดการเป็นผู้อนุมัติ และดําเนินการตามที่กฎหมายกําหนดอย่างเคร่งครัด

2.11 ข้อมูลส่วนบุคคลใด ๆ ที่บริษัทเก็บไว้ตามนโยบายนี้ ถือว่าเป็นข้อมูลสําคัญในทางธุรกิจ บริษัทฯ จะเก็บรักษาเสมือนหนึ่งเป็นทรัพย์สิน ข้อมูลของบริษัทฯเอง ผู้ใดละเมิด ทําลาย ทําให้เสียหาย หรือนําไปใช้ ประโยชน์ส่วนตัว บริษัทฯ จะลงโทษถึงขั้นสูงสุดและหรือดําเนินคดีถึงที่สุด รวมถึงต้องชดใช้ความเสียหายที่เกิดขึ้นเต็มจํานวนตามอัตราที่กฎหมายกําหนด

2.12 การเก็บรักษา ใช้ การตรวจสอบ ทบทวน อนุมัติ หรือ ดําเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลตามนโยบายนี้ ให้ทําเป็นความลับเท่าที่จําเป็น โดยหลักสุจริต และให้ถือว่าข้อมูลลับส่วนบุคคลนี้เป็น ข้อมูลลับในระดับสูงสุด

3. ผู้ควบคุมข้อมูลและผู้เกี่ยวข้องกับข้อมูลส่วนบุคคล

เพื่อให้การเก็บรักษา การใช้ การควบคุม ตรวจสอบข้อมูลส่วนบุคคล เป็นไปตามนโยบายและข้อกําหนดของกฎหมายที่เกี่ยวข้อง บริษัทฯ จึงกําหนดหน้าที่และความรับผิดชอบของพนักงานที่เกี่ยวข้องดังต่อไปนี้

3.1 กรรมการผู้จัดการ มีหน้าที่ดังต่อไปนี้

3.1.1 จัดตั้งคณะทํางานควบคุมข้อมูลส่วนบุคคลของลูกค้า คู่ค้าหรือผู้มาติดต่องาน ประกอบด้วย ผู้จัดการ/หัวหน้าหน้าหน่วยงาน ทุกหน่วยงาน เพื่อกําหนดข้อมูลที่จะเก็บ การรักษา การใช้ การตรวจสอบการใช้ข้อมูลส่วนบุคคลให้เป็นตามกฎหมาย

3.1.2 แต่งตั้งผู้ควบคุมข้อมูลส่วนบบุคคล ผู้ใช้ข้อมูล ประมวลผล การรักษาข้อมูลให้เป็นปัจจุบัน เป็นความลับและสอดคล้องกับกฎหมายที่กําหนด

3.1.3 เป็นผู้ทบทวน / อนุมัติการใช้ การควบคุมข้อมูลส่วนบุคคลในส่วนที่เกินจากอํานาจของผู้ควบคุมข้อมูลส่วนบุคคล หรือ การส่งข้อมูลพนักานไปให้หน่วยงานภายนอก หรือ ต่างประเทศ ที่เกี่ยวข้อง

3.2 ผู้จัดการฝ่ายสารสนเทศ (IT Manager) มีหน้าที่และรับผิดชอบดังต่อไปนี้

3.2.1 เป็นผู้ควบคุมข้อมูลส่วนบุคคลของลูกค้า คู่ค้าหรือผู้มาติดต่องานให้เป็นไปตามนโยบายนี้และปฏิบัติตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกําหนด

3.2.2 ร่วมกับคณะทํางาน (ผู้จัดการทุกแผนกที่เกี่ยวข้อง) กําหนดข้อมูลส่วนบุคคลของลูกค้า คู่ค้าหรือผู้มาติดต่องาน วิธีการเก็บ การรักษา การใช้ การปรับปรุงข้อมูล โดยวิธีปกปิดเป็น ความลับ และทําการประชุมทบทวนความถูกต้อง การคงอยู่ของข้อมูล รวมถึงการทําลายข้อมูล ที่ไม่ใช้งานอย่างน้อยปีละ 1 ครั้ง เพื่อให้ข้อมูลเป็นปัจจุบันเป็นปัจจุบันและสอดคล้องกับกฎหมายที่เกี่ยวข้อง

3.2.3 สถานที่เก็บเก็บรักษา (ห้องเก็บเอกกสาร หรือ เก็บทางคอมพิวเตอร์) ต้องมั่นใจว่าเข้าถึงได้เฉพาะคน ต้องมีรหัสลับเฉพาะ มีการบันทึกการเข้าถึง เพื่อให้ตรวจสอบว่าใครเข้าไปทําอะไร วันใด เวลาใด เพื่อป้องกันการละเมิด การลักขโมย การทําลายข้อมูลที่เก็บไว้นั้น

3.2.4 ข้อมูลที่เก็บไว้ หากจะเปลี่ยนแปลง ลบ หรือ นําออกไปภายนอก ต้องได้รับอนุมัติจากผู้ควบคุมจะนําออก ลบ เองโดยพลการไม่ได้

3.2.5 หากพบสิ่งผิดปกติ ไม่เป็นไปตามนโยบายนี้ให้ระงับยับยั้งเหตุผิดปกตินั้นทันทีและรายงานให้กรรมการผู้จัดการ แก้ไข ป้องกันโดยเร็ว

3.2.6 จัดทํารายงานข้อมูลส่วนบุคคลของลูกค้า คู่ค้าหรือผู้มาติดต่องานตามที่กฎหมายกําหนด พร้อมรับการตรวจสอบและหรือส่งให้หน่วยงานที่กฎหมายกําหนด

3.2.7 บันทึกการใช้ข้อมูลไว้เพื่อการตรวจสอบเพื่อให้มั่นใจว่าได้ดําเนินการตามนโยบายนี้

3.3 ผู้จัดการแต่ละหน่วยงาน มีหน้าที่ดังต่อไปนี้

3.3.1 ผู้จัดการฝ่ายขาย ร่วมเป็นคณะทํางาน และรวบรวม ส่งข้อมูลส่วนบุคคลของลูกค้า (Customer) หรือบุคคลที่เกี่ยวข้องกับฝ่ายขาย ส่งให้ผู้จัดการสารสนเทศเก็บรักษา

3.3.2 ผู้จัดการฝ่ายจัดซื้อ ร่วมเป็นคณะทํางานและรวบรวมข้อมูลส่วนบุคคลของคู่ค้า (Supplier) หรือบุคคลที่เกี่ยวข้องกับฝ่ายจัดซื้อ ส่งให้ผู้จัดการฝ่ายสารสนเทศเก็บรักษา

3.3.3 ผู้จัดการฝ่ายบัญชีและการเงิน ร่วมเป็นคณะทํางาน และรวบรวมข้อมูลส่วนบุคคล ใบแจ้งหนี้ ใบเสร็จรับเงิน เลขที่บัญชี รายรับ รายจ่าย การโอนเงินเอกสารทางบัญชี หรือการเงินอื่นใดของ ลูกค้า คู่ค่า หรือบุคคลที่เกี่ยวข้องกับแผนกการเงินและบัญชี ส่งให้ผู้จัดการฝ่ายสารสนเทศเก็บรักษา

3.3.4 ผู้จัดการฝ่ายคลังสินค้าและขนส่ง ร่วมเป็นคณะทํางานและรวบรวมข้อมูลส่วนบุคคลของบริษัทขนส่ง คนขับรถ ทะเบียนรถยนต์ หรือบุคคลที่เกี่ยวข้องกับคลังสินค้าและขนส่ง ส่งให้ผู้จัดการฝ่ายสารสนเทศเก็บรักษา

3.3.5 ผู้จัดการฝ่ายซ่อมบํารุง ร่วมเป็นคณะทํางานและรวบรวมข้อมูลส่วนบุคคลของผู้มาซ่อม สร้าง ให้บริการ ในงานซ่อมบํารุง หรือ บุคคลที่เกี่ยวข้องกับงานซ่อมบํารุง ส่งให้ผู้จัดการฝ่าย สารสนเทศเก็บรักษา

3.3.6 ผู้จัดการฝ่ายบุคคล ร่วมเป็นคณะทํางานและรวบรวมข้อมูลส่วนบุคคลของผู้มาติดต่องาน ผู้มาเยือน หรือ บุคคลที่เกี่ยวข้องกับฝ่ายบุคคล ส่งให้ผู้จัดการฝ่ายสารสนเทศเก็บรักษา

3.3.7 ผู้จัดการฝ่ายรักษาความปลอดภัย ร่วมเป็นคณะทํางานและควบคุม กํากับ ตรวจสอบ การทําหน้าที่ของพนักงานรักษาความปลอดภัยหน้าประตูเข้า - ออก บริษัท ให้บันทึกข้อมูล เก็บ รักษา ข้อมูลส่วนบุคคลของบุคคลที่เกี่ยวข้องกับงานรักษาความปลอดภัย ที่เข้า – ออก บริเวณบริษัทให้รัดกุม ปลอดภัย เป็นความลับชั้นสูงสุด ให้ผู้จัดการสารสนเทศเก็บรักษา

3.3.8 ผู้จัดการฝ่ายคุณภาพ ร่วมเป็นคณะทํางานและรวบรวมข้อมูลส่วนบุคคลของผู้ร้องเรียน หรือ บุคคลที่เกี่ยวข้อกับระบบคุณภาพ ส่งให้ผู้จัดการฝ่ายสารสนเทศเก็บรักษา

3.3.9 ผู้จัดการฝ่ายวิจัยและพัฒนา ร่วมเป็นคณะทํางานและรวบรวมข้อมูลส่วนบุคคลของผู้คิดค้น ผู้วิจัย ผู้ออกแบบ หรือ บุคคลที่เกี่ยวข้อกับการวิจัยและพัฒนา ส่งให้ผู้จัดการฝ่ายสารสนเทศเก็บรักษา

3.3.10 ผู้จัดการอื่น หรือ พนักงานอื่นที่เกี่ยวข้อง รวบรวมข้อมูลส่วนบุคคลของลูกค้า คู่ค้า ผู้มาติดต่องานในส่วนที่ตนเกี่ยวข้อง ส่งให้ผู้จัดการฝ่ายสารสนเทศเก็บรักษา

4. การใช้และการเปลี่ยนแปลงข้อมูลเพื่อให้การเก็บ การใช้ การรักษาข้อมูลส่วนบุคคลของลูกค้า คู่ค้า ผู้มาติดต่องาน เป็นไปตามนโยบาย และหรือที่กฎหมายกําหนด ให้ผู้จัดการ พนักงานที่เกี่ยวข้องดําเนินการดังต่อไปนี้

4.1 ชี้แจงเหตุผลความจําเป็นให้เจ้าของข้อมูลทราบถึงนโยบายนี้ รวมถึงชี้แจงสิทธิและหน้าที่ของเจ้าของข้อมูลตามนโยบายนี้

4.2 ให้ใช้ข้อมูลด้วยความสุจริต เป็นความลับ เท่าที่จําเป็น ตามงานที่เกี่ยวข้อง หากมีการเปลี่ยนแปลง เพิ่มเติม ตัดออก หรือ ต้องการข้อมูลอื่นใดเพิ่มเติม ให้แจ้งผู้จัดการฝ่ายสารสนเทศเพื่อจัดให้หรือปรับใหม่ให้เป็นปัจจุบัน ห้ามไม่ให้กระทําการใด ๆ เองโดยพลการหรือโดยไม่ได้รับอนุญาต

4.3 ในกรณที่พนักงานที่เกี่ยวข้องกับลูกค้า คู่ค้า หรือผู้มาติดต่องานมีการเปลี่ยนตําแหน่ง เปลี่ยนคนหรือ ลาออก ให้แจ้งเจ้าของข้อมูลทราบโดยเร็ว เพื่อป้องกันการแอบอ้าง หรือนําข้อมูลไปใช้ประโยชน์ส่วนตัว หรือเพื่อป้องกันการเปิดเผย ละเมิดอันอาจจะทําให้เจ้าของข้อมูลเสียหาย

4.4 บันทึกการใช้ การเก็บรักษาไว้เพื่อการตรวจสอบ เพื่อให้มั่นใจว่ามีการปฏิบัติตามนโยบายนี้หรือตามกฎหมายที่เกี่ยวข้องอย่างเคร่งครัด

5. การเข้าถึง การตรวจสอบ และการแจ้งเพิ่มเติม ข้อมูลส่วนบุคคลของลูกค้า คู่ค้าหรือของผู้มาติดต่องาน

ลูกค้า คู่ค้า ผู้มาติดต่องานที่เป็นเจ้าของข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรักษาไว้ มีสิทธิและหน้าที่ ดังต่อไปนี้

5.1 มีสิทธิขอตรวจสอบการเก็บรักษา การใช้ข้อมูลของตนเองได้ทุกวันในเวลาทํางาน โดยแจ้งความประสงค์ได้ที่ผู้จัดการฝ่ายที่ติดต่องานด้วย เพื่อประสานงานกับผู้จัดการฝ่ายสารสนเทศให้

5.2 มีสิทธิขอรับการรับรอง หรือ ขอใช้มูลส่วนบุคคลขเฉพาะของตนเองเท่านั้น โดยแจ้งความประสงค์ต่อผู้จัดการฝ่ายที่ติดต่องาน เพื่อประสานงานกับผู้จัดการฝ่ายสารสนเทศให้

5.3 มีหน้าที่จัดส่งเอกสาร หรือ ข้อมูลส่วนบุคคลใด ๆ ที่บริษัทฯร้องขอภายในเวลาที่บริษัทฯกําหนด

5.4 มีหน้าที่แจ้งข้อมูลส่วนบุคคลใด ๆ ที่มีการเปลี่ยนแปลง เช่น การเปลี่ยนชื่อ นามสกุล เปลี่ยนหมายเลขโทรศัพท์ เปลี่ยนบัญชีธนาคาร เปลี่ยนชื่อผู้ติดต่องาน การย้ายที่อยู่ ให้แจ้งบริษัทฯทราบโดยเร็วหรือภายในเดือนที่มีการเปลี่ยนแปลงนั้น เพื่อให้ข้อมูลเป็นปัจจุบัน

5.5 มีหน้าที่แจ้งข้อมูลส่วนบุคคลที่มีนัยยะสําคัญ ที่มีผลต่อสุขภาพ ความปลอดภัยต่อชีวิต ทรัพย์สิน หรือ ต่อความสงบเรียบร้อยในการค้าขายร่วมกัน เช่น อาการป่วยติดเชื้อ โรคระบาด โรคทางจิตเวช ยา เสพติด การก่อประวัติอาญากรรม หรือ การทําผิดกฎหมายใด ให้ผู้จัดการที่ติดต่องานด้วยทราบทันที และเป็นความลับ เพื่อจัดการแก้ไข ป้องกัน ช่วยเหลือได้ทันเหตุการณ์

6. บทลงโทษผู้ฝ่าฝืนระเบียบปฏิบัตินี้และหรือละเมิดสิทธิส่วนบุคคลของลูกค้าคู่ค้า หรือ ของผู้มาติดต่องาน

6.1 พนักงานผู้ใดเปิดเผย ใช้ ละเมิดข้อมูลส่วนบุคคลของลูกค้า คู่ค่า หรือของผู้มาติดต่องาน โดยไม่ได้รับอนุมัติจากบริษัทฯ ถือว่าเป็นการทุจริตต่อหน้าที่ จงใจทําให้บริษัทเสียหาย ถือว่าเป็นความผิดร้ายแรง บริษัทฯจะลงโทษถึงขั้นเลิกจ้างโดยไม่จ่ายค่าชดเชยใด

6.2 พนักงานที่บริษัทฯ มอบหมายให้มีหน้าที่เก็บรักษา ใช้ ตรวจสอบข้อมูล ถือเป็นพนักงานเจ้าหน้าที่ กระทําความผิดเสียเอง จะถูกพิจารณาลงโทษในอัตราสูงกว่าพนักงานทั่วไป

6.3 พนักงานผู้ใด ละเมิด ไม่ปฏิบัติตามนโยบาย ระเบียบปฏิบัตินี้หากเกิดความเสียหายใดๆ พนักงานผู้นั้นต้องชดใช้ความเสียหายด้วยตนเองเต็มจํานวนตามที่กฎหมายกําหน

6.4 พนักงานหรือบุคคลใด นําข้อมูลส่วนบุคคลของลูกค้า คู่ค้าหรือผู้มาติดต่องาน ที่บริษัทเก็บรักษาไว้นี้ ไปใช้ประโยชน์ส่วนตัว หรือ ให้ผู้อื่นไปใช้ต่อโดยไม่ได้รับอนุมัติจากบริษัทฯ ถือว่าเป็นการกระทํา ความผิดร้ายแรงมีโทษถึงขั้นเลิกจ้างทันทีโดยไม่จ่ายค่าชดเชยใด ๆ อีกทั้งบริษัทฯ จะฟ้องร้องเรียก ค่าเสียหายและหรือ ดําเนินคดีถึงที่สุดตามกฎหมายที่เกี่ยวข้อง

บริษัทฯ จึงขอให้พนักงานทุกคนศึกษาและปฏิบัติตามนโยบายและแนวปฏิบัติข้างต้นนี้อย่างเคร่งครัด เพื่อให้ข้อมูลส่วนบุคคลของลูกค้า คู่ค้า หรือ ของผู้มาติดต่องานมีการเก็บรักษา ใช้อย่างปลอดภัยตลอดเวลาที่ ทํางานร่วมกันตลอดไป