เพื่อให้ข้อมูลส่วนบุคคลของลูกค้า คู่ค้า ผู้มาติดต่องาน หรือบุคคลภายนอกที่เกี่ยวข้อง รวมทั้งพนักงานบริษัท ได้รับการเก็บรวบรวม การจัดเก็บรักษา การใช้งานอย่างสุจริต การเปิดเผย รวมถึงสิทธิต่าง ๆ ของเจ้าของข้อมูล เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (ต่อจากนี้ไปจะเรียกว่า “พรบ PDPA”) บริษัทจึงประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล ดังต่อไปนี้
1. ขอบเขตการใช้
1.1 ให้ประกาศฉบับนี้มีผลใช้บังคับกับผู้บริหาร และพนักงานทุกระดับของบริษัท รวมถึงคู่ค้า ผู้ให้บริการ และผู้มีส่วนได้เสียกับบริษัท
1.2 ให้ประกาศฉบับนี้มีผลใช้บังคับกับทุกกิจกรรมดำเนินงานของบริษัท ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เป็นต้นว่า การจัดเก็บข้อมูลส่วนบุคคล วัตถุประสงค์ในการนำข้อมูลส่วนบุคคลไปใช้ การเปิดเผยข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล ตลอดจนวิธีการรักษาความปลอดภัยของข้อมูลส่วนบุคคล
2. คำนิยาม
2.1 “บริษัท” หมายถึง บริษัท เอ็ม.ที.อาร์.แอสเส็ท แมนเนเจอร์ จำกัด (ต่อจากนี้ไปจะเรียกว่า “บริษัท”)
2.2 “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล ที่อยู่ วันเดือนปีเกิด เพศ หมายเลขโทรศัพท์ เลขประจำตัวประชาชน รวมถึงข้อมูลอื่นใดเกี่ยวกับบุคคลใดบุคคลหนึ่ง
2.3 “เจ้าของข้อมูล” หมายถึง บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล
2.4 “บุคคล” หมายถึง บุคคลธรรมดา
2.5 “ลูกค้า” (Customer) หมายถึง นิติบุคคล หรือบุคคลทั่วไปที่ใช้บริการของบริษัท
2.6 “คู่ค้า” (Supplier) หมายถึง บุคคล ร้านค้า ห้างหุ้นส่วนหรือบริษัทจำกัด หรือนิติบุคคลอื่นที่ให้บริการกับบริษัท
2.7 “ผู้มาติดต่องาน” (Visitor) หมายถึง บุคคลภายนอกที่เข้ามาติดต่องาน มาเยี่ยมชม หรือมาตรวจสอบใด ๆ กับบริษัทที่นอกเหนือจากการใช้บริการ รวมถึงบุคคลภายนอกที่ไม่ใช่พนักงานของบริษัท
3. ข้อมูลส่วนบุคคลของลูกค้า คู่ค้า ผู้มาติดต่องาน ที่ได้รับการคุ้มครองตามนโยบายนี้ คือ
3.1 ชื่อ นามสกุล ไม่ว่าจะเป็น ชื่อกรรมการ หรือชื่อผู้ติดต่องานรายบุคคล
3.2 ที่อยู่บุคคลธรรมดา (ของแต่ละบุคคล)
3.3 หมายเลขโทรศัพท์ อีเมล์ ไอดีไลน์ นามบัตร และ อื่น ๆ ที่ทำให้สามารถระบุตัวตนของบุคคลนั้นได้
3.4 เลขที่บัตรประจำตัวประชาชน
3.5 ข้อมูลส่วนบุคคลอื่นใดตามที่กฎหมายกำหนด
4. วัตถุประสงค์ในการรวบรวม จัดเก็บ ใช้ ข้อมูลส่วนบุคคล
บริษัทจะรวบรวม จัดเก็บ ใช้ ข้อมูลส่วนบุคคลของเจ้าของข้อมูล เพื่อเป็นหลักฐานประกอบในการให้บริการ การจัดซื้อจัดจ้าง การรับชำระเงินและจ่ายชำระเงิน รวมถึงข้อมูลพนักงาน และธุรกรรมอื่นที่เกี่ยวข้องกับบริษัท โดยบริษัทจะจัดเก็บรักษาข้อมูลดังกล่าวไว้ตามระยะเวลาเท่าที่จำเป็นสำหรับวัตถุประสงค์เหล่านั้นเท่านั้น หากภายหลังมีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล บริษัทจะประกาศให้เจ้าของข้อมูลทราบ
5. การเก็บรวบรวมข้อมูลส่วนบุคคล
การจัดเก็บรวบรวมข้อมูลส่วนบุคคลจะกระทำโดยมีวัตถุประสงค์ ขอบเขต และใช้วิธีการที่ชอบด้วยกฎหมาย ในการเก็บรวบรวมและจัดเก็บข้อมูล ตลอดจนเก็บรวบรวม และจัดเก็บข้อมูลส่วนบุคคลอย่างจำกัดเพียงเท่าที่จำเป็นแก่การทำธุรกรรมต่างๆ ภายใต้วัตถุประสงค์ของบริษัทเท่านั้น ทั้งนี้บริษัทจะดำเนินการให้เจ้าของข้อมูล รับรู้ ให้ความยินยอมตามแบบวิธีการของทางบริษัท
6. ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ยกเว้นกรณีที่กฎหมายกำหนดให้เก็บข้อมูลดังกล่าวในระยะเวลาที่นานกว่านั้น ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลเจ้าของข้อมูลสิ้นความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้ว บริษัทจะทำการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ต่อไป ในกรณีที่มีข้อพิพาท หรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคลของเจ้าของข้อมูล บริษัทขอสงวนสิทธิในการเก็บรักษาข้อมูลดังกล่าวต่อไป จนกว่ามีคำสั่งหรือคำพิพากษาถึงที่สุด
7. การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลจะถูกเก็บรักษาไว้เป็นความลับตามที่พรบ PDPAกำหนด และตามวัตถุประสงค์ที่กำหนดไว้ข้างต้นเท่านั้น ทั้งนี้ บริษัทจะกำกับดูแลพนักงาน หรือผู้ปฏิบัติงานของบริษัทมิให้ใช้และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลนอกเหนือไปจากวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลหรือเปิดเผยต่อบุคคลภายนอก เว้นแต่เป็นการปฏิบัติตามกฎหมาย เช่น พระราชบัญญัติวิชาชีพ พ.ศ. 2547 เป็นต้น หรือตามคำสั่งศาล โดยมีผู้ควบคุมข้อมูลส่วนบุคคล ดำเนินการป้องกันมิให้ผู้อื่นใช้หรือเปิดเผยโดยมิชอบ จัดให้มีมาตรการรักษาความปลอดภัยในการจัดเก็บข้อมูล
8. สิทธิของเจ้าของข้อมูลส่วนบุคคล
8.1 บริษัทจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้รับรู้หรือให้ความยินยอมไว้ก่อน เว้นแต่เป็นการปฏิบัติตามกฎหมายหรือคำสั่งศาล
8.2 เจ้าของข้อมูลมีสิทธิขอเข้าถึง ขอรับสำเนาข้อมูลส่วนบุคคลของเจ้าของข้อมูล ตามหลักเกณฑ์และวิธีการที่บริษัท หรือขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคล ทั้งนี้ บริษัทอาจปฏิเสธคำขอของเจ้าของข้อมูลได้ตามที่กฎหมายกำหนดหรือตามคำสั่งศาล
8.3 เจ้าของข้อมูลมีสิทธิขอแก้ไขหรือเปลี่ยนแปลงข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่ไม่ถูกต้อง ไม่สมบูรณ์ หรือ หมดอายุ และทำให้ข้อมูลของเจ้าของข้อมูลเป็นปัจจุบันได้
8.4 เจ้าของข้อมูลมีสิทธิขอลบ หรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ต่อไปเว้นแต่เป็นกรณีที่บริษัทต้องปฏิบัติตามกฎหมายที่เกี่ยวข้องในการเก็บรักษาข้อมูลดังกล่าว
8.5 เจ้าของข้อมูลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
8.6 เจ้าของข้อมูลมีสิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลได้
8.7 เจ้าของข้อมูลมีสิทธิขอถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลถูกเก็บรักษาไว้ที่บริษัท
8.8 เจ้าของข้อมูลมีสิทธิขอรับข้อมูลส่วนบุคคล และขอให้ส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ทั้งนี้ การใช้สิทธินี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด
9. มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล
บริษัทกำหนดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมและสอดคล้องกับการรักษาความลับของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิ หรือโดยไม่ชอบด้วยกฎหมาย ตลอดจนการป้องกันมิให้มีการนำข้อมูลส่วนบุคคลไปใช้โดยมิได้รับอนุญาต โดยมีมาตรการดังต่อไปนี้
กำหนดสิทธิในการเข้าถึง การใช้ การเปิดเผย ข้อมูลส่วนบุคคล ตามแนวนโยบายของบริษัทอย่างเคร่งครัด
9.1 ออกระเบียบ วิธีปฏิบัติ สำหรับควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
9.2 ในการส่ง การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บบนฐานข้อมูลในระบบอื่น ซึ่งผู้ให้บริการรับโอนข้อมูลหรือบริการเก็บรักษาข้อมูลอยู่ต่างประเทศ ประเทศปลายทางที่เก็บรักษาข้อมูลต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่าหรือดีกว่ามาตรการตามนโยบายนี้ เว้นแต่ ทำตามข้อยกเว้นที่กำหนดโดย พรบ PDPA นี้
9.3 ในกรณีที่มีหลักฐานพิสูจน์ได้ว่าทางบริษัทได้มีการฝ่าฝืนมาตราการการรักษาความมั่นคงปลอดภัยของบริษัท จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคล หรือข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ บริษัทจะดำเนินการแจ้งเจ้าของข้อมูลให้ทราบโดยเร็ว รวมทั้งแจ้งแผนการเยียวยาความเสียหายจากการละเมิดหรือการรั่วไหลของข้อมูลส่วนบุคคลสู่สาธารณะ ทั้งนี้บริษัทจะไม่รับผิดชอบในกรณีความเสียหายใดๆ อันเกิดจากการใช้หรือการเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่สาม รวมถึงการละเลย หรือเพิกเฉยการออกจากระบบ (Log out) ฐานข้อมูล โดยการกระทำของเจ้าของข้อมูลหรือบุคคลอื่นซึ่งได้รับความยินยอมจากเจ้าของข้อมูล
10. นโยบายการเก็บ รักษา ใช้ข้อมูลส่วนบุคคลของลูกค้า คู่ค้า หรือ ผู้มาติดต่องาน
การจัดเก็บรวบรวมข้อมูลส่วนบุคคลจะกระทำโดยมี วัตถุประสงค์ ขอบเขต และใช้วิธีการที่ชอบด้วยกฎหมาย ในการเก็บรวบรวมและจัดเก็บข้อมูล ตลอดจนเก็บรวบรวม และจัดเก็บข้อมูลส่วนบุคคลอย่างจำกัดเพียงเท่าที่จำเป็นแก่การทำธุรกรรมต่าง ๆ ภายใต้วัตถุประสงค์ของบริษัทเท่านั้น ทั้งนี้บริษัทจะดำเนินการให้เจ้าของข้อมูล รับรู้ ให้ความยินยอมตามแบบวิธีการของทางบริษัท
10.1 บริษัทจะขอข้อมูลส่วนบุคคลเท่าที่จำเป็นในการทำธุรกิจร่วมกัน หรือ ตามที่กฎหมายกำหนด หรือ ตามที่องค์กร หน่วยงาน ที่เกี่ยวข้องกำหนดเท่านั้น
10.2 บริษัทจะจัดให้มีการเก็บรักษาข้อมูลอย่างรัดกุม ปกปิด และเป็นความลับ
10.3 บริษัทกำหนดหน้าที่ของผู้เก็บข้อมูล ผู้ประมวลผลข้อมูล ผู้รักษา ผู้ใช้ ผู้อนุมัติการใช้ รวมถึงขั้นตอนการตรวจสอบ การเข้าถึง อย่างชัดเจน เพื่อให้มั่นใจว่าข้อมูลเหล่านั้นได้รับการเก็บรักษาเป็นความลับ ปลอดภัยและใช้งานโดยสุจริต
10.4 ลูกค้า คู่ค้า หรือผู้มาติดต่องาน ที่เป็นเจ้าของข้อมูล มีสิทธิในการขอดู ตรวจสอบ เข้าถึงข้อมูลนั้นได้ตลอดเวลาที่มีการเก็บรักษา รวมถึงมีหน้าที่แจ้งข้อมูลเพิ่มเติมในกรณีที่มีการเปลี่ยนแปลงข้อมูลส่วนบุคคล หรือ นำส่งข้อมูลในกรณีที่บริษัท หรือ หน่วยงานที่เกี่ยวข้องร้องขอเพิ่มเติม
10.5 ลูกค้า คู่ค้า หรือ ผู้มาติดต่องาน ที่เป็นชาวต่างชาติ ให้เก็บ รักษา และใช้ข้อมูลเช่นเดียวกับคนไทย
10.6 ในกรณีบุคคลหรือหน่วยงานภายนอก หรือหน่วยงานราชการ ต้องการข้อมูลของลูกค้า คู่ค้า หรือ ผู้มาติดต่องาน ให้แสดงหมายศาล หรือคำสั่งศาล หรือหนังสือราชการที่เกี่ยวข้องมาแสดงต่อกรรมการบริหารหรือผู้ควบคุมข้อมูล เพื่อพิจารณาอนุมัติก่อนทุกครั้ง
10.7 การส่งข้อมูลของลูกค้า คู่ค้า ผู้มาติดต่องานให้หน่วยราชการตามรอบปกติหรือตามที่กฎหมายกำหนด เช่นส่งให้กรมสรรพากร ให้ส่งเป็นความลับได้ตามปกติและบันทึกการส่งไว้เพื่อการตรวจสอบ
10.8 กรณีที่หน่วยราชการ หรือ หน่วยงานที่เกี่ยวข้องกับการตรวจสอบ เช่น ผู้ตรวจสอบบัญชี ผู้ตรวจสอบระบบ ให้แสดงเป็นความลับได้ตามปกติและบันทึกการตรวจสอบไว้เพื่อเป็นหลักฐาน
10.9 การส่งข้อมูลของลูกค้า คู่ค้า ผู้มาติดต่องานไปยังต่างประเทศ ให้กรรมการบริหารหรือผู้ควบคุมข้อมูลเป็นผู้อนุมัติและดำเนินการตามที่กฎหมายกำหนดอย่างเคร่งครัด
10.10 ข้อมูลส่วนบุคคลใด ๆ ที่บริษัทเก็บไว้ตามนโยบายนี้ ถือว่าเป็นข้อมูลสำคัญในทางธุรกิจ บริษัทจะเก็บรักษาเสมือนหนึ่งเป็นทรัพย์สิน ข้อมูลของบริษัทเอง ผู้ใดละเมิด ทำลาย ทำให้เสียหาย หรือนำไปใช้ประโยชน์ส่วนตัว บริษัทจะลงโทษถึงขั้นสูงสุด และดำเนินคดีทั้งคดีแพ่งและคดีอาญาตามกฎหมายที่เกี่ยวข้องจนถึงที่สุด
10.11 การเก็บ รักษา ใช้ การตรวจสอบ ทบทวน อนุมัติ หรือ ดำเนินการใดๆ เกี่ยวกับข้อมูลส่วนบุคคลตามนโยบายนี้ ให้ทำเป็นความลับ เท่าที่จำเป็นโดยหลักสุจริต และให้ถือว่าข้อมูลลับส่วนบุคคลนี้เป็นข้อมูลลับในระดับสูงสุด
11. ผู้ควบคุมข้อมูลและผู้เกี่ยวข้องกับข้อมูลส่วนบุคคล
เพื่อให้การเก็บ การรักษา การใช้ การควบคุม การตรวจสอบข้อมูลส่วนบุคคล เป็นไปตามนโยบายและข้อกำหนดของกฎหมายที่เกี่ยวข้อง บริษัทจึงกำหนดหน้าที่และความรับผิดชอบของพนักงานที่เกี่ยวข้องดังต่อไปนี้
11.1 กรรมการบริหาร มีหน้าที่ดังต่อไปนี้
11.1.1 จัดตั้งคณะทำงานควบคุมข้อมูลส่วนบุคคลของลูกค้า คู่ค้า หรือผู้มาติดต่องาน ประกอบด้วย ผู้จัดการ/หัวหน้าหน่วยงาน ทุกหน่วยงาน เพื่อกำหนดข้อมูลที่จะเก็บ การรักษา การใช้ การตรวจสอบการใช้ข้อมูลส่วนบุคคลให้เป็นตามกฎหมาย
11.1.2 แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) การรักษาข้อมูลให้เป็นปัจจุบัน เป็นความลับและสอดคล้องกับที่กฎหมายกำหนด
11.1.3 เป็นผู้ทบทวน / อนุมัติการใช้ การควบคุมข้อมูลส่วนบุคคลในส่วนที่เกินจากอำนาจของผู้ควบคุมข้อมูลส่วนบุคคล หรือ การส่งข้อมูลไปให้หน่วยงานภายนอก หรือ ต่างประเทศที่เกี่ยวข้อง
11.2 ผู้จัดการฝ่ายที่ใช้และรวบรวมข้อมูล มีหน้าที่และรับผิดชอบดังต่อไปนี้
11.2.1 เป็นผู้ควบคุมการใช้ข้อมูลส่วนบุคคลของลูกค้า คู่ค้า หรือผู้มาติดต่องานให้เป็นไปตามนโยบายนี้และปฏิบัติตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลที่กำหนด
11.2.2 ร่วมกับคณะทำงาน (ผู้จัดการทุกหน่วยงานที่เกี่ยวข้อง) กำหนดข้อมูลส่วนบุคคลของลูกค้า คู่ค้า หรือผู้มาติดต่องาน วิธีการเก็บรักษา การใช้ การปรับปรุงข้อมูล วิธีปกปิดความลับ และทำการประชุมทบทวนความถูกต้อง การคงอยู่ของข้อมูล รวมถึงการทำลายข้อมูล ที่ไม่ใช้งานอย่างน้อยปีละ 1 ครั้ง เพื่อให้ข้อมูลเป็นปัจจุบันและสอดคล้องกับกฎหมายที่เกี่ยวข้อง
11.2.3 สถานที่เก็บรักษา (ห้องเก็บเอกสาร หรือ เก็บทางคอมพิวเตอร์) ต้องมั่นใจว่าเข้าถึงได้เฉพาะคน ต้องมีรหัสลับเฉพาะ มีการบันทึกการเข้าถึง เพื่อให้ตรวจสอบว่าใครเข้าไปทำอะไร วันใด เวลาใด เพื่อป้องกันการละเมิด การลักขโมย การทำลายข้อมูลที่เก็บไว้นั้น
11.2.4 ข้อมูลที่เก็บไว้ หากจะเปลี่ยนแปลง ลบ หรือ นำออกไปภายนอก ต้องได้รับอนุมัติจากผู้ควบคุมข้อมูลจะนำออก ลบเองโดยพลการไม่ได้
11.2.5 หากพบสิ่งผิดปกติ ไม่เป็นไปตามนโยบายนี้ให้ระงับ ยับยั้งเหตุผิดปกตินั้นทันทีและรายงานให้กรรมการบริหารแก้ไข ป้องกันโดยทันที
11.2.6 จัดทำรายงานข้อมูลส่วนบุคคลของลูกค้า คู่ค้าหรือผู้มาติดต่องานตามที่กฎหมายกำหนด พร้อมรับการตรวจสอบและ/หรือส่งให้หน่วยงานที่กฎหมายกำหนด
11.2.7 บันทึกการได้รับ ส่งต่อและการใช้ข้อมูลไว้เพื่อการตรวจสอบเพื่อให้มั่นใจว่าได้ดำเนินการตามนโยบายนี้
11.2.8 ข้อมูลส่วนบุคคลที่ได้รับ ให้เก็บรักษาตามระยะเวลาที่กฎหมายกำหนด และ/หรือ ตามความจำเป็นในการใช้งาน
11.2.9 วิธีการทำลายข้อมูล ให้ใช้วิธีย่อย หรือ เผาทำลายหรือวิธีการอื่นที่มั่นใจว่าไม่มีบุคคลอื่นล่วงรู้ในข้อมูลนั้น
11.3 ผู้จัดการแต่ละหน่วยงาน มีหน้าที่ดังต่อไปนี้
11.3.1 ผู้จัดการฝ่ายบริหารงานส่วนกลาง (Corporate Affairs) เป็นคณะทำงาน และรวบรวมข้อมูลส่วนบุคคล เอกสารทะเบียนการค้า เอกสารรายชื่อผู้ถือหุ้น หรือเอกสารอื่นใดของลูกค้า หรือบุคคลที่เกี่ยวข้องกับบริษัท และเป็นผู้ทำการเก็บรักษาข้อมูลที่ได้รับ
11.3.2 ผู้จัดการฝ่ายบัญชีและการเงิน (Accounting & Finance) เป็นคณะทำงาน และรวบรวมข้อมูลส่วนบุคคล สัญญาจ้าง ใบแจ้งหนี้ ใบเสร็จรับเงิน เลขที่บัญชี รายรับ รายจ่าย การโอนเงิน เอกสารทางบัญชี หรือเอกสารอื่นใดของลูกค้า คู่ค้า หรือบุคคลที่เกี่ยวข้องกับหน่วยงานบัญชีและการเงิน และเป็นผู้ทำการเก็บรักษาข้อมูลที่ได้รับ
11.3.3 ผู้จัดการฝ่ายจัดซื้อ (Purchasing) เป็นคณะทำงานและรวบรวมข้อมูลส่วนบุคคลของคู่ค้า (Supplier) หรือบุคคลที่เกี่ยวข้องกับฝ่ายจัดซื้อ และเป็นผู้ทำการเก็บรักษาข้อมูลที่ได้รับ
11.3.4 ผู้จัดการฝ่ายวิศวกรรม (Engineering) เป็นคณะทำงานและรวบรวมข้อมูลส่วนบุคคลของบริษัทลูกค้า คู่ค้า หรือบุคคลที่เกี่ยวข้องกับฝ่ายวิศวกรรม และเป็นผู้ทำการเก็บรักษาข้อมูลที่ได้รับ
11.3.5 ผู้จัดการฝ่ายบุคคลและธุรการ (Human Resource & Admin) เป็นคณะทำงานและรวบรวมข้อมูลส่วนบุคคลของผู้มาติดต่องาน ผู้มาเยือน หรือ บุคคลที่เกี่ยวข้องกับฝ่ายบุคคลและธุรการ และเป็นผู้ทำการเก็บรักษาข้อมูลที่ได้รับ
11.3.6 ผู้จัดการฝ่ายสารสนเทศ (IT) เป็นคณะทำงานและรวบรวมข้อมูลส่วนบุคคลของจากการใช้ระบบสารสนเทศของ พนักงาน ผู้มาติดต่องาน ผู้มาเยือน หรือ บุคคลที่เกี่ยวข้อง และเป็นผู้ทำการเก็บรักษาข้อมูลที่ได้รับ
12. แนวทางปฏิบัติสำหรับข้อมูลในระบบสารสนเทศของบริษัท
12.1 สำหรับระบบบัญชี Accpac และ ระบบฝ่ายบุคคล B-Plus
12.1.1 การจัดเก็บและนำข้อมูลส่วนบุคคลเข้าสู่ระบบให้นำเข้าเท่าที่มีความจำเป็นเท่านั้นในการปฏิบัติงานเท่านั้น ไม่นำข้อมูลส่วนบุคคลอื่น ๆ ที่ไม่จำเป็นเข้าสู่ระบบ
12.1.2 จำกัดสิทธิในการเข้าถึงข้อมูลเฉพาะผู้ที่เกี่ยวข้องและมีหน้าที่ปฏิบัติงานเท่านั้น
12.1.3 จำกัดสิทธิในการเข้าถึงข้อมูลเช่น Database Admin และ System Admin โดยให้เก็บ User และ Password ไว้ที่ กรรมการบริหาร และ ผู้จัดการฝ่ายสารสนเทศ โดย ทั้ง กรรมการบริหาร และ ผู้จัดการฝ่ายสารสนเทศ สามารถที่จะมอบสิทธิให้กับผู้ที่เห็นสมควร ในภาวะฉุกเฉิน แต่ยังคงต้องรับผิดชอบต่อการกระทำ และผลของการกระทำที่จะเกิดขึ้นกับผู้ที่ได้รับมอบ เพื่อนำมาใช้ตามที่ร้องขอในการดูแลระบบตามที่จำเป็นเท่านั้น หลังจากใช้เสร็จให้ทำการ Reset password โดยให้กรรมการบริหาร หรือ ผู้จัดการฝ่ายสารสนเทศ สามารถ Reset password เองได้ และเก็บที่ กรรมการบริหาร และ ผู้จัดการฝ่ายสารสนเทศ ตามเดิม
12.2 สำหรับระบบ Time attendance
ให้จำกัดสิทธิในการเข้าระบบแก่แผนกฝ่ายบุคคลเท่านั้น แต่กรณีที่จำเป็นในการดูแลระบบทางฝ่ายบุคคลสามารถมอบสิทธิในการควบคุมการเข้าถึงระบบเพื่อบำรุงรักษาให้แผนก IT เป็นการชั่วคราว และให้ดำเนินการ reset password หลังจากนั้น
12.3 สำหรับระบบคอมพิวเตอร์ส่วนบุคคล Email และ Office 365
12.3.1 การจัดเก็บและนำข้อมูลส่วนบุคคลเข้าสู่ระบบให้นำเข้าเท่าที่มีความจำเป็นเท่านั้นในการปฏิบัติงานเท่านั้น โดยหากเป็น File ที่มีข้อมูลส่วนบุคคลที่มีความอ่อนไหวสูง เช่น สำเนาบัตรประชาชน สำเนาทะเบียนบ้าน ให้ทำการเข้ารหัส File ที่มีข้อมูลส่วนบุคคลก่อนนำเข้าและจัดเก็บในระบบสารสนเทศเพื่อลดความเสี่ยงในการรั่วไหลของข้อมูล
12.3.2 ให้หลีกเลี่ยงการส่งข้อมูลส่วนบุคคลที่มีความอ่อนไหวสูงทาง Email หรือ Share ผ่านทาง link หากมีความจำเป็นต้องดำเนินการให้เข้ารหัสก่อนส่งออก
12.3.3 ห้าม Share สิทธิหรือกำหนดสิทธิในการเข้าถึงข้อมูลเป็น Public โดยไม่มีเหตุจำเป็น
12.4 ข้อมูล Log การใช้งาน Internet และ Log Antivirus
ห้ามส่งข้อมูลส่วนบุคคลต่าง ๆ ผ่านทาง Public service หรือช่องทางอื่น ๆ นอกเหนือจากที่บริษัทกำหนด เช่น Line, Hotmail, Gmail, Google drive ส่วนตัว เป็นต้น โดยหากต้องส่งทางช่องทางที่ทางบริษัท ไม่ได้กำหนดไว้ต้องทำการขออนุญาตเป็นกรณีไป และยังต้องเข้ารหัสในการส่งข้อมูลดังกล่าว
12.6 กรณีที่มีการเกิดเหตุการณ์ฝ่าฝืนมาตรการรักษาความมั่นคงปลอดภัย ให้ดำเนินการแจ้งเหตุตามขั้นตอนดังนี้
12.6.1 ระบุประเภทหรือลักษณะของเหตุการณ์ดังกล่าวว่ามีการฝ่าฝืนมาตรการรักษาความมั่นคงปลอดภัยอย่างไร (security breach)
12.6.2 รายงานเหตุการณ์ที่เกิดขึ้นให้ผู้บริหาร และ ผู้ที่เกี่ยวข้องทั้งหมด ในกรณีที่มีข้อมูลส่วนบุคคลรั่วไหลหรือถูกละเมิด ตาม พรบ PDPA กำหนด
12.6.3 ประเมินความเสียหายที่เกิดขึ้นและหาแนวทางแก้ไข ตรวจสอบความเสียหายว่าเกิดจากสาเหตุอะไร มีการรั่วไหลของข้อมูลหรือไม่ ข้อมูลที่รั่วไหนเป็นข้อมูลส่วนบุคคลหรือไม่
12.6.4 แก้ไขปัญหาโดยอาจเพิ่มมาตรการรักษาความมั่นคงปลอดภัยหรืออุดช่องโหว่ของระบบ (patching)
13. การใช้และการเปลี่ยนแปลงข้อมูล
เพื่อให้การเก็บ การใช้ การรักษาข้อมูลส่วนบุคคลของลูกค้า คู่ค้า ผู้มาติดต่องาน เป็นไปตามนโยบายและหรือที่กฎหมายกำหนดให้ผู้จัดการ พนักงานที่เกี่ยวข้องดำเนินการดังต่อไปนี้
13.1 ชี้แจงเหตุผลความจำเป็นให้เจ้าของข้อมูลทราบถึงนโยบาย รวมถึงชี้แจงสิทธิและหน้าที่ของเจ้าของข้อมูลตามนโยบายนี้
13.2 ให้ใช้ข้อมูลด้วยความสุจริต เป็นความลับ เท่าที่จำเป็น ตามงานที่เกี่ยวข้อง หากมีการเปลี่ยนแปลง เพิ่มเติม ตัดออก หรือ ต้องการข้อมูลอื่นใดเพิ่มเติม ให้แจ้งผู้ควบคุมข้อมูลเพื่อดำเนินการ ห้ามไม่ให้กระทำการใดๆ เองโดยพลการหรือโดยไม่ได้รับอนุญาต
13.3 ในกรณีที่พนักงานที่เกี่ยวข้องกับลูกค้า คู่ค้า หรือผู้มาติดต่องานมีการเปลี่ยนตำแหน่ง เปลี่ยนคนหรือลาออก ให้ส่งมอบข้อมูลในครอบครองคืนแก่บริษัท เพื่อป้องกันการเปิดเผย ละเมิดอันอาจจะทำให้เจ้าของข้อมูลเสียหาย
13.4 บันทึกได้รับ ส่งออก และการใช้ การเก็บรักษาไว้เพื่อการตรวจสอบ เพื่อให้มั่นใจว่ามีการปฏิบัติตามนโยบายนี้หรือตามกฎหมายที่เกี่ยวข้องอย่างเคร่งครัด
14. การเข้าถึง การตรวจสอบ และการแจ้งเพิ่มเติม ข้อมูลส่วนบุคคลของลูกค้า คู่ค้า หรือผู้มาติดต่องาน
ลูกค้า คู่ค้า ผู้มาติดต่องานที่เป็นเจ้าของข้อมูลส่วนบุคคลที่บริษัท เก็บ รักษาไว้ มีสิทธิและหน้าที่ดังต่อไปนี้
14.1 มีสิทธิขอตรวจสอบการเก็บรักษา การใช้ข้อมูลขอตนเองได้ทุกวันในเวลาทำการ โดยแจ้งความประสงค์ได้ที่ผู้ควบคุมข้อมูลที่ติดต่องานด้วย
14.2 มีสิทธิขอรับการรับรอง หรือ ขอใช้ข้อมูลส่วนบุคคลเฉพาะของตนเองเท่านั้น โดยแจ้งความประสงค์ได้ที่ผู้ควบคุมข้อมูลที่ติดต่องานด้วย
14.3 มีหน้าที่จัดส่งเอกสาร หรือ ข้อมูลส่วนบุคคลใด ๆ ที่บริษัทร้องขอภายในเวลาที่บริษัทกำหนด
14.4 มีหน้าที่แจ้งข้อมูลส่วนบุคคลใด ๆ ที่มีการเปลี่ยนแปลง เช่น การเปลี่ยนชื่อ นามสกุล เปลี่ยนหมายเลขโทรศัพท์ เปลี่ยนบัญชีธนาคาร เปลี่ยนชื่อผู้ติดต่องาน การย้ายที่อยู่ ให้แจ้งบริษัททราบโดยเร็วหรือภายในเดือนที่มีการเปลี่ยนแปลงนั้น เพื่อให้ข้อมูลเป็นปัจจุบัน
14.5 มีหน้าที่แจ้งข้อมูลส่วนบุคคลที่มีนัยยะสำคัญ ที่มีผลต่อสุขภาพ ความปลอดภัยต่อชีวิต ทรัพย์สิน หรือต่อความสงบเรียบร้อยในการทำธุรกิจร่วมกัน เช่น อาการป่วยติดเชื้อโรคระบาด โรคทางจิตเวช ยาเสพติด การก่อประวัติอาชญากรรม หรือ การทำผิดกฎหมายใด ให้ผู้จัดการที่ติดต่องานด้วยทราบ และดำเนินการอย่างเป็นความลับ เพื่อจัดการแก้ไข ป้องกัน ช่วยเหลือได้ทันเหตุการณ์
15. บทลงโทษผู้ฝ่าฝืนระเบียบปฏิบัตินี้และ/หรือละเมิดสิทธิส่วนบุคคลของลูกค้า คู่ค้า หรือของผู้มาติดต่องาน
15.1 พนักงานผู้ใดเปิดเผย ใช้ ละเมิดข้อมูลส่วนบุคคลของลูกค้า คู่ค้า หรือของผู้มาติดต่องาน โดยไม่ได้รับอนุมัติจากบริษัท ถือว่าเป็นการทุจริตต่อหน้าที่ จงใจให้บริษัทเสียหาย ถือว่าเป็นความผิดร้ายแรง บริษัทจะลงโทษถึงขั้นเลิกจ้างโดยไม่จ่ายค่าชดเชยใด ๆ
15.2 พนักงานที่บริษัทมอบหมายให้มีหน้าที่เก็บ รักษา ใช้ ตรวจสอบข้อมูล ถือเป็นพนักงานเจ้าหน้าที่กระทำความผิดเสียเอง จะถูกพิจารณาลงโทษในอัตราสูงกว่าพนักงานทั่วไป
15.3 พนักงานผู้ใด ละเมิด ไม่ปฏิบัติตามนโยบาย ระเบียบปฏิบัตินี้ หากเกิดความเสียหายใดๆ พนักงานผู้นั้นต้องชดใช้ความเสียหายด้วยตนเองเต็มจำนวนตามที่กฎหมายกำหนด
15.4 พนักงานหรือบุคคลใด นำข้อมูลส่วนบุคคลของลูกค้า คู่ค้า หรือผู้มาติดต่องาน ที่บริษัทเก็บรักษาไว้นี้ ไปใช้ประโยชน์ส่วนตัว หรือ ให้ผู้อื่นไปใช้ต่อโดยไม่ได้รับอนุมัติจากบริษัท ถือว่าเป็นการกระทำความผิดร้ายแรงมีโทษถึงขั้นเลิกจ้างทันทีโดยไม่จ่ายค่าชดเชยใด ๆ
บริษัทจะดำเนินคดีกับพนักงานและผู้กระทำผิด ตามข้อ 15.1 -15.4 ทั้งคดีแพ่งและคดีอาญาตามกฎหมายที่เกี่ยวข้องจนถึงที่สุด
16. ช่องทางการติดต่อบริษัท
บริษัท เอ็ม.ที.อาร์.แอสเส็ท แมนเนเจอร์ จำกัด 99/11 ชั้น 11 อาคารบีเจซี 2 ซอยแสงจันทร์ – รูเบีย แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 เบอร์โทรศัพท์ 02-381-8188 อีเมล์ [email protected] เว็ปไซด์ www.mtr.co.th
M.T.R. Asset Managers Co., Ltd.
75, White Group Tower II, 11 Floor, Soi Rubia,Sukhumvit 42 Road, Phrakanong, Klongtoey, Bangkok 10110
Tel : 66-2381-8188 (2200), Fax : 66-2381-8088 Mobile : 668-9127-8334 E-mail:
[email protected]