นโยบายคุ้มครองข้อมูลส่วนบุคคล
นโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy)
(Personal Data Protection Policy)
บริษัท ภูริ เอสเตท จำกัด
หมวดที่ 1 บททั่วไป
บริษัท ภูริ เอสเตท จำกัด (“บริษัท”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล เนื่องจากการคุ้มครองข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของการรับผิดชอบต่อสังคมและเป็นรากฐานในการสร้างความสัมพันธ์ทางธุรกิจที่น่าเชื่อถือ บริษัทฯ จึงออกนโยบายฉบับนี้ขึ้นเพื่อกำหนดกรอบการคุ้มครองข้อมูลส่วนบุคคลในกระบวนการต่างๆของบริษัทฯ เพื่อให้พนักงานและบุคคลที่เกี่ยวข้องของบริษัทฯยึดถือและปฏิบัติตามให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล”) และมาตรฐานที่กำหนดไว้
1. นิยาม
| บริษัทฯ | บริษัท ภูริ เอสเตท จำกัด |
|---|---|
| เจ้าของข้อมูลส่วนบุคคล | บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลซึ่ง บริษัท ภูริ เอสเตท จำกัด มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงผู้สมัคร พนักงาน ลูกค้า ผู้ถือหุ้น คู่ค้า ผู้ให้บริการ และผู้มีส่วนได้เสียกับบริษัทฯ |
| ผู้สมัคร | บุคคลที่แจ้งความประสงค์เพื่อรับการพิจารณาเข้าเป็นพนักงาน เข้าฝึกงาน |
| พนักงาน | ลูกจ้างของบริษัท ตามกฎหมายแรงงาน |
| ข้อมูล | ข้อมูลส่วนบุคคล ข้อมูลซึ่งไม่ใช่ข้อมูลส่วนบุคคล ข้อมูลระบบ ข้อมูลที่ตั้ง คุกกี้ |
| ข้อมูลส่วนบุคคล | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวตนนั้นได้ไม่ว่าทางตรงหรือทางอ้อมตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และที่แก้ไขเพิ่มเติม |
| ข้อมูลส่วนบุคคลที่มีความอ่อนไหว | ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา หรือปรัชญา หรือพฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของ ข้อมูลส่วนบุคคลในทำนองเดียวกัน ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ตามพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ.2562 และที่แก้ไขเพิ่มเติม |
| ข้อมูลชีวภาพ | ข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิค หรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือพฤติกรรมของบุคคลมาใช้ ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลจำลองภาพใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ |
| ข้อมูลสาธารณะ | ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้เปิดเผยต่อสาธารณชน เช่น ข้อมูลโปรไฟล์ สื่อสังคมออนไลน์ เมื่อมีการใช้ข้อมูลหรือรหัสการเข้าระบบของสื่อสังคมออนไลน์ (social media credential) หรือ Facebook , Instagram , Twitter , line และรูปแบบแพลตฟอร์ม ออนไลน์อื่นๆ เพื่อเชื่อมต่อหรือเข้าสู่บริการใดๆ ของบริษัทฯ เช่น บัญชีสื่อสังคม ออนไลน์ (social media account ID) สิ่งที่สนใจ (interests) รายการที่ชอบ (likes) และรายชื่อเพื่อนของเจ้าของข้อมูลส่วนบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลสามารถควบคุมการจัดเก็บความเป็นส่วนตัวนี้ผ่านการตั้งค่าบัญชีสื่อสังคมออนไลน์ที่จัดทำไว้ให้ โดยผู้ให้บริการสื่อสังคมออนไลน์ดังกล่าว |
| การเก็บรวบรวมข้อมูล | การเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ของบริษัท ที่ชอบด้วยกฎหมาย |
| การเปิดเผยข้อมูล | การนำข้อมูลส่วนบุคคลไปเปิดเผย เผยแพร่ด้วยวิธีการอย่างหนึ่งอย่างใด ผ่านช่องทางต่างๆ รวมถึงสื่อสังคมออนไลน์ทุกประเภท |
| ผู้ควบคุมข้อมูลส่วนบุคคล | ผู้ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล |
| ผู้ประมวลผลข้อมูลส่วนบุคคล | ผู้ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยบุคคลดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล |
การประมวลผลข้อมูล | การดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใด ซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย |
แอปพลิเคชัน | โปรแกรม หรือชุดคำสั่งที่ใช้ควบคุมการทำงานของคอมพิวเตอร์เคลื่อนที่และอุปกรณ์ต่อพ่วงต่างๆ เพื่อให้ทำงานตามคำสั่ง และตอบสนองความต้องการของผู้ใช้ โดยแอปพลิเคชัน (Application) ต้องมีสิ่งที่เรียกว่า ส่วนติดต่อกับผู้ใช้ (User Interface (หรือ UI) เพื่อเป็นตัวกลางการใช้งานต่างๆ |
IP Address | สัญลักษณ์เชิงหมายเลขที่กำหนดให้แก่อุปกรณ์แต่ละชนิด เช่นคอมพิวเตอร์ หรือ เครื่องพิมพ์ ที่มีส่วนร่วมอยู่ในเครือข่ายคอมพิวเตอร์หนึ่งๆ ที่ใช้อินเตอร์เน็ตโพรโทคอลในการสื่อสาร |
คุกกี้ (Cookie) | ข้อมูลขนาดเล็กที่เว็บไซต์ของบริษัท ส่งไปยังคอมพิวเตอร์หรืออุปกรณ์อิเลกทรอนิคที่เชื่อมต่ออินเตอร์เน็ต เพื่อเก็บข้อมูลส่วนบุคคล โดยคุกกี้จะถูกส่งกลับไปที่เว็บไซต์ต้นทางในแต่ละครั้งที่กลับมาดูที่เว็บไซต์ดังกล่าว |
Log | ข้อมูลที่เกิดจากการใช้งานแอปพลิเคชัน ซึ่งรวมถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ประมาณ ระยะเวลา ชนิดของบริการ หรืออื่นๆ ที่เกี่ยวข้องกับการใช้งานของแอปพลิเคชัน |
ข้อมูลที่ไม่สามารถระบุตัวตนได้ | ข้อมูลที่ผ่านกระบวนการจัดทำข้อมูลนิรนามแล้ว |
สำนักงาน | สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วน |
ภัยคุกคามทางไซเบอร์ | การกระทำหรือการดำเนินการใดๆ ที่มิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือโปรแกรมไม่พึงประสงค์ โดยมีความมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นๆ ที่เกี่ยวข้อง |
2. กฎหมายที่บังคับใช้
3. หลักการและแนวปฏิบัติในการประมวลผลข้อมูลส่วนบุคคล
บริษัทฯ ได้กำหนดหลักการและแนวปฏิบัติในการประมวลผลข้อมูลส่วนบุคคล เพื่อใช้เป็นแนวทางปฏิบัติ เพื่อให้มั่นใจได้ว่าการประมวลข้อมูลส่วนบุคคลเป็นไปตามที่กฎหมายกำหนด
3.1 หลักการในการประมวลผลข้อมูลส่วนบุคคล
1) Fairness and lawfulness)
การประมวลผลข้อมูล และการส่งหรือโอนข้อมูลส่วนบุคคลจะต้องเป็นไปโดยชอบด้วยกฎหมาย และเป็นไปตามที่กำหนดโดยชัดแจ้ง และเป็นธรรม
2) Restriction to a specific purpose (Purpose Limitation)
การประมวลผลข้อมูลส่วนบุคคลจะกระทำเฉพาะวัตถุประสงค์ที่ได้มีการแจ้งไว้การเปลี่ยนวัตถุประสงค์ หรือเพิ่มวัตถุประสงค์ จะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน ยกเว้นไปตามที่กฎหมายกำหนด
3) Transparency (Accountability)
บริษัทฯ มีหน้าที่ต้องแจ้งวัตถุประสงค์ ผู้ควบคุมข้อมูล การส่งหรือโอนข้อมูลให้บุคคลที่สาม (ถ้ามี) และสิทธิของเจ้าของข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลส่วนบุคคลได้ทราบก่อน หรือในเวลาที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล
โดยบริษัทฯ จะเผยแพร่นโยบายคุ้มครองข้อมูลส่วนบุคคล เอกสารระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล และระเบียบปฏิบัติที่เกี่ยวข้องไว้ในเว็บไซต์ของบริษัทฯ เพื่อให้เจ้าของข้อมูลส่วนบุคคล และบุคคลทั่วไปสามารถเข้าไปดูได้ และเก็บไว้เป็นไฟล์ข้อมูลกลางของบริษัทฯ เพื่อให้พนักงานทุกคนสามารถเข้าไปดูข้อมูลได้
4) Necessity (Data Minimization)
บริษัทฯ จะเก็บรวบรวม ใช้ และเปิดเผย ข้อมูลส่วนบุคคลเฉพาะเท่าที่จำเป็น ตามวัตถุประสงค์ที่ได้รับความยินยอมไว้จากเจ้าของข้อมูลส่วนบุคคล และ/หรือ ที่สามารถทำได้โดยชอบด้วยกฎหมาย
5) Deletion ( Storage minimization)
บริษัทฯ จะมีการจัดการข้อมูลส่วนบุคคลที่เกินระยะเวลาที่บริษัทฯ กำหนดในการจัดเก็บ หรือ บริษัทฯ ไม่มีสิทธิ หรือไม่สามารถอ้างหลักฐานในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล บริษัทฯ จะดำเนินการทำลายข้อมูลส่วนบุคคลนั้น และจัดทำวิธีการในการทำลายที่เหมาะสม
6) Accuracy. Up to date of data
บริษัทฯ จะใช้มาตรการตามสมควรในการเก็บรักษาข้อมูลส่วนบุคคลให้มีความถูกต้อง เป็นปัจจุบัน และเชื่อถือได้
7) Confidentiality and data security
บริษัทฯ จะกำหนดมาตรการเพื่อความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมทั้งระบบการจัดการและเทคนิค เพื่อให้มั่นใจได้ว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครองป้องกันตามที่กฎหมายกำหนด ทั้งการป้องกันการสูญหาย รั่วไหล การละเมิดจากผู้ที่ไม่ได้รับอนุญาต รวมถึงการประมวลผล หรือส่ง เปิดเผยโดยไม่ชอบด้วยกฎหมาย และรวมถึงการสูญหายจากอุบัติเหตุ
3.2 แนวปฏิบัติการประมวลผลข้อมูลส่วนบุคคล
บริษัทฯ ได้กำหนดแนวปฏิบัติการประมวลผลข้อมูลให้ครอบคลุมทั้งกระบวนการเป็นไปตามที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดดังนี้
- การเก็บข้อมูลส่วนบุคคล
ในการเก็บข้อมูลส่วนบุคคลได้กระทำภายใต้วัตถุประสงค์ และเก็บรวบรวมเท่าที่จำเป็นตามกรอบวัตถุประสงค์ หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวมอันชอบด้วยกฎหมาย โดยต้องแจ้งให้เจ้าของข้อมูลทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลเกี่ยวกับรายละเอียด ในการเก็บรวบรวม เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว ดังนี้
- วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำไปใช้หรือเปิดเผย ซึ่งรวมถึงวัตถุประสงค์ตามที่กฎหมายให้อำนาจในการจัดเก็บรวบรวมได้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
- ข้อมูลส่วนบุคคลที่มีการเก็บ รวบรวม และระยะเวลาในการเก็บรวบรวมไว้
- กรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคล เพื่อปฏิบัติตามกฎหมายหรือสัญญา หรือเพื่อเข้าทำสัญญาโดยต้องแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบด้วย
- ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจถูกเปิดเผย
- ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ รวมถึงตัวแทนด้วย(ถ้ามี)
- สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย
การเก็บรวบรวมข้อมูลส่วนบุคคลจะต้อง ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ยกเว้นตามที่กฎหมายกำหนดให้กระทำได้ เช่น ข้อมูลทั่วไปที่ไม่ต้องได้รับการยินยอมไปเป็นไปตามฐานสัญญา หรือเป็นไปตามที่กฎหมายกำหนด เช่น การส่งข้อมูลการจ่ายค่าจ้างให้กรมสรรพากร หรือข้อมูลอ่อนไหวที่ไม่ต้องได้รับความยินยอม เช่น ข้อมูลสุขภาพในการป้องกันโรคติดต่อ
2)การใช้หรือเปิดเผยข้อมูล
การใช้หรือเปิดเผยข้อมูลส่วนบุคคลต้องดำเนินการให้เป็นไปตามวัตถุประสงค์หรือตามความจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวม และต้องได้รับความยินยอมจากเจ้าของข้อมูลที่ให้ไว้ก่อนหรือขณะนั้นยกเว้นตามที่กฎหมายกำหนดให้ใช้หรือเปิดเผยได้เช่นเป็นข้อมูลที่เปิดเผยต่อสาธารณะโดยชอบด้วยกฎหมาย เพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกายหรือสุขภาพเป็นต้น
4. บริหารจัดการความเสี่ยงการคุ้มครองข้อมูลส่วนบุคคล
บริษัทกำหนดให้มีการประเมินความเสี่ยงการคุ้มครองข้อมูลส่วนบุคคล เพื่อตรวจสอบความพร้อมและความถูกต้อง เพื่อให้แน่ใจว่าบริษัทมีการบริหารความเสี่ยงในการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอและเป็นไปตามกฎหมาย อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่ โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ต้องติดตามและรายงานผลด้านความเสี่ยงต่อคณะกรรมการบริษัท
5. วิธีได้มาของข้อมูลส่วนบุคคล
เพื่อให้สอดคล้องกับข้อกฎหมาย บริษัท จะเก็บรวบรวมข้อมูลส่วนบุคคลตามแนวปฏิบัติ ขอที่ 3.2 ด้วยกระบวนการดังต่อไปนี้
5.1 ข้อมูลส่วนบุคคลที่ได้รับจากเจ้าของข้อมูลส่วนบุคคลโดยตรง
5.2 ข้อมูลส่วนบุคคลจากบุคคลที่สาม เช่น บริษัทฯตัวแทนจัดหางาน
5.3 ข้อมูลส่วนบุคคลที่ได้รับจากการเข้าเยี่ยมชมเว็บไซต์ เช่นชื่อของผู้ให้บริการอินเทอร์เน็ต และที่อยู่ไอพี (IP Address) ผ่านการเขาใช้อินเทอร์เน็ต วันที่และเวลาของการเข้าเยี่ยมชมเว็บไซต์หน้าเพจที่เข้าเยี่ยมชมขณะเข้าเว็บไซต์ และที่อยู่ของเว็บไซต์ซึ่งเชื่อมโยงโดยตรงกับเว็บไซต์ของบริษัท
5.4 พฤติกรรมการใช้งานแอปพลิเคชัน โดยจะมีการเก็บ Log การใช้งานจากบนแอปพลิเคชันของทางบริษัท
5.5 ข้อมูลส่วนบุคคลที่ได้รับจากข้อมูลสาธารณะ (Public Records) และที่ไม่ใช่สาธารณะ (Non-Public-Records) ที่บริษัทมีสิทธิ์เก็บรวบรวมได้ตามกฎหมาย
5.6 ข้อมูลส่วนบุคคลที่ได้รับจากหน่วยงานภาครัฐ หรือหน่วยงานกำกับดูแลที่ใช้อำนาจตามกฎหมาย ทั้งนี้ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่สามารถกระทำได้โดยชอบด้วยกฎหมาย
6. การรักษาความมั่นคงปลอดภัยและความลับของข้อมูลส่วนบุคคล
เพื่อให้เจ้าของข้อมูลส่วนบุคคลมีความมั่นใจในการบริหารจัดการข้อมูลส่วนบุคคลของบริษัทฯ ในการป้องกันความเสี่ยงอันอาจทำให้ข้อมูลส่วนบุคคลถูกเข้าถึงโดยมิชอบ รั่วไหล ถูกเปลี่ยนแปลงแก้ไข สูญหาย
บริษัทฯจึงได้สร้างความตระหนักด้านความมั่นคงปลอดภัยทางสารสนเทศ รวมทั้งปฏิบัติตามมาตรฐานสากลด้านการรักษาความปลอดภัยสารสนเทศที่เป็นที่ยอมรับและการบริหารความต่อเนื่องทางธุรกิจ และเป็นไปตามที่กฎหมายกำหนด
บริษัทฯมีมาตรการปกป้องความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลโดยการจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลจะกำหนดให้เฉพาะบุคคลที่จำเป็นต้องใช้ข้อมูลส่วนบุคคลดังกล่าวซึ่งบุคคลที่บริษัทฯอนุญาตให้เข้าถึงข้อมูลส่วนบุคคลนั้นจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของบริษัทอย่างเคร่งครัดตลอดจนการรักษาความลับของข้อมูลส่วนบุคคลดังกล่าวโดยบริษัทมีมาตรการป้องกันทางกายภาพและทางอิเล็กทรอนิกส์เป็นไปตามมาตรฐานการกำกับดูแลที่บังคับใช้เพื่อปกป้องข้อมูลส่วนบุคคล
เมื่อบริษัททำสัญญาหรือข้อตกลงกับบุคคลที่สามบริษัทจะกำหนดมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลการรักษาข้อมูลที่เป็นความลับที่เหมาะสมเพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่บริษัทครอบครองจะมีความปลอดภัย
7. สิทธิของเจ้าของข้อมูลส่วนบุคคล
สิทธิ | ระยะเวลาดำเนินการ |
สิทธิขอถอนความยินยอม | 7 วัน |
สิทธิขอเข้าถึงข้อมูล | 30 วัน |
สิทธิขอถ่ายโอนข้อมูล | |
สิทธิขอคัดค้าน | |
สิทธิขอให้ลบหรือทำลายข้อมูล | |
สิทธิขอให้ระงับการใช้ข้อมูล | |
สิทธิขอให้แก้ไขข้อมูล | 15 วัน |
8. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
บริษัทได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อตรวจสอบการดำเนินการที่เกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 และนโยบาย ระเบียบ ประกาศ คำสั่ง ทางบริษัทฯ รวมทั้งประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และมีหน้าที่อื่นๆตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และที่จะมีการแก้ไขเพิ่มเติมกำหนด
9. คำถามที่เกี่ยวกับนโยบายความเป็นส่วนตัว
หากเจ้าของข้อมูลส่วนบุคคลมีข้อเสนอแนะหรือต้องการสอบถามข้อมูลที่เกี่ยวกับรายละเอียดการเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคลรวมถึงการขอใช้สิทธิตามนโยบายฉบับนี้สามารถติดต่อบริษัทและ/หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
10. ช่องทางการติดต่อ
หากเจ้าของข้อมูลส่วนบุคคลมีข้อเสนอแนะหรือต้องการสอบถามข้อมูลเกี่ยวกับรายละเอียดการเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคลรวมถึงการขอใช้สิทธิตามนโยบายฉบับนี้สามารถติดต่อบริษัทและ/หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลผ่านช่องทางดังนี้
ชื่อบริษัท บริษัท ภูริ เอสเตท จำกัด (สำนักงานใหญ่)
ที่อยู่เลขที่ 102/1 ชั้น 1 ถนนแจ้งวัฒนะ แขวงอนุสาวรีย์ เขตบางเขน
กรุงเทพมหานคร 10220
เว็บไซต์ของบริษัทwww.puri.co.th
ศูนย์บริการลูกค้าทางโทรศัพท์ของบริษัท(Call Center) 1476
อีเมล์ dpo@puri.co.th
11. ติดต่อหน่วยงานผู้มีอำนาจ (Appropriate Authority)
หากเจ้าของข้อมูลส่วนบุคคลต้องรายงานเรื่องที่ร้องเรียนหรือหากรู้สึกว่าบริษัทไม่ตอบข้อกังวลในลักษณะที่น่าพึงพอใจสามารถติดต่อและ/หรือร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ตามรายละเอียดด้านล่าง
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
โทรศัพท์ : 02-142-1033
อีเมล์ pdpc@mdes.go.th
หรือส่งจดหมายมาที่ :120 หมู่ 3 อาคารรัฐประศาสนภักดี (อาคารB) ศูนย์ราชการ แจ้งวัฒนะ
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210
12. การปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Protection Privacy Policy)
บริษัทขอสงวนสิทธิ์ในการปรับปรุงเปลี่ยนแปลงหรือแก้ไขนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ได้ในอนาคตเป็นประจำอย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงข้อบังคับตามกฎหมาย และบริษัทจะประกาศให้ทราบผ่านเว็บไซต์ของบริษัทฯ
หมวดที่ 2
การคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้มีส่วนได้เสียภายใน (Internal Stakeholder)
บริษัทตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ซึ่งหมายรวมถึงผู้สมัครงานพนักงานปัจจุบัน ผู้บริหาร อดีตพนักงาน พนักงานที่เกษียณอายุแล้ว พนักงานชั่วคราว ผู้รับทุน คณะกรรมการ พยานและบุคคลอื่นที่เกี่ยวข้อง บริษัทจึงได้กำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลด้านงานบริหารทรัพยากรบุคคลเพื่ออธิบายวิธีการที่บริษัทเก็บรวบรวมใช้เปิดเผยและ/หรือ โอนไปยังต่างประเทศซึ่งข้อมูลส่วนบุคคลตลอดจนการแจ้งสิทธิ์ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เพื่อแสดงความโปร่งใสของบริษัทในการดำเนินกิจกรรมที่เกี่ยวข้องอันสอดคล้องกับข้อกำหนดภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ทั้งนี้ บริษัทอาจจัดเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวผ่านทางช่องทางต่างๆเช่นสาขาเว็บไซต์ช่องทางการสื่อสารออนไลน์ (เช่นอีเมล) นิทรรศการการจ้างงานและงานกิจกรรมต่างๆหรือเก็บรวบรวมเมื่อบริษัทไปเยี่ยมเยือนหรือนัดหมายพบกับเจ้าของข้อมูลส่วนบุคคล หรือจากแหล่งอื่น (เช่น แพลตฟอร์มออนไลน์หรือแหล่งข้อมูลสาธารณะอื่นๆ) หรือ พันธมิตรทางธุรกิจ หน่วยงานภาครัฐ หรือบุคคลที่สาม และสถานที่อื่นๆ และ/หรือ ช่องทางการสื่อสารอื่น
- วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
1.1 การปฏิบัติตนตามสัญญา (Contractual Basis)
เพื่อการปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลให้เป็นคู่สัญญาเช่น สัญญาจ้าง สัญญาการฝึกงาน สัญญาให้ทุนการศึกษา สัญญาให้การสนับสนุน หรือสัญญาอื่นใดหรือเพื่อใช้ในการดำเนินการตามคำขอ/ใบสมัคร ก่อนเข้าทำสัญญา ตามแต่กรณี โดยตัวอย่างที่บริษัทจะเก็บรวบรวมใช้และเปิดเผยข้อมูลเช่น
- การสอบข้อเขียนการสัมภาษณ์รวมถึงการจ่ายค่าจ้างหรือผลตอบแทนอื่นๆ การจัดให้มีสวัสดิการหรือประโยชน์อื่นใด การลงเวลาทำงาน การลางาน การแต่งตั้ง การโยกย้าย การเปลี่ยนตำแหน่ง การปรับโครงสร้างองค์กร การประเมินและการบริหารผลการปฏิบัติงาน
- การพัฒนาทักษะความสามารถการจัดทำบัตรพนักงาน การจัดทำทะเบียนพนักงาน การจัดทำข้อมูลพนักงาน การติดต่อสื่อสาร การมอบหมายงานให้ผู้อื่นทำแทนบริษัท การปฏิบัติตามกฎหมายการชำระภาษีการบริหารความเสี่ยง การกำกับตรวจสอบ การป้องกันการทุจริต การสอบสวนและลงโทษทางวินัย การจัดการข้อร้องเรียน การบริหารจัดการภายในองค์กรและเพื่อวัตถุประสงค์อื่นใดที่จำเป็นต่อการจ้างงานตามวัตถุประสงค์ดังกล่าว
- 2.2.การปฏิบัติตามกฎหมาย (Legal Obligation)
เพื่อปฏิบัติหน้าที่ตามกฎหมายที่กำหนด อยู่ที่หน้าที่ของบริษัทในฐานะ ของนายจ้างหรือในฐานะอื่นใดเช่นกฎหมายแพ่งและพาณิชย์ กฎหมายธุรกิจสถาบันการเงิน กฎหมายหลักทรัพย์และตลาดหลักทรัพย์
กฎหมายประกันภัย กฎหมายคุ้มครองแรงงาน กฎหมายประกันสังคม กฎหมายเงินทดแทน
กฎหมายแรงงานสัมพันธ์ กฎหมายกองทุนสำรองเลี้ยงชีพกฎหมายภาษีอากรกฎหมายล้มละลาย
กฎหมายป้องกันและปราบปรามการ ฟอกเงิน กฎหมายป้องกันและปราบปรามการสนับสนุนทางการเงินแก่การก่อการร้าย และแพร่ขยายอาวุธที่มีอานุภาพทำลายล้างสูง กฎหมายคอมพิวเตอร์ การนำส่งข้อมูลให้ตลาดหลักทรัพย์แห่งประเทศไทย
1.3 ประโยชน์โดยชอบด้วยกฎหมาย (legitimate Interest)
เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือของบุคคลหรือนิติบุคคลอื่นโดยไม่เกินขอบเขตและความคาดหมายที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผลตั้งแต่แรกเช่น
- การบันทึกเสียง การบันทึกภาพนิ่ง การบันทึกภาพเคลื่อนไหว กล้อง CCTV เพื่อป้องกันอาชญากรรม การประมวลข้อมูลเพื่อรักษาความปลอดภัยของระบบและเครือข่าย เพื่อการบริหารจัดการ
- การสำรวจความคิดเห็น การเข้าร่วมกิจกรรมภายในองค์กร การประกาศผล การรับ–ส่งพัสดุ การวิเคราะห์วิจัย ทำสถิติ
- การบริหารความเสี่ยง การกำกับตรวจสอบ การจัดการข้อร้องเรียน การบริหารจัดการภายในองค์กร การป้องกัน รับมือ ลดความเสี่ยงที่จะเกิดการกระทำการทุจริต
- ภัยคุกคามทางไซเบอร์ การกระทำผิดกฎหมายต่างๆ การตรวจสอบข้อมูลการใช้อุปกรณ์อิเล็กทรอนิกส์ เพื่อเพิ่มประสิทธิภาพในการทำงานหรือตรวจสอบพฤติกรรมการปฏิบัติงาน การดำเนินคดีในชั้นศาล
- การทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (Anonymous data)
- ข้อมูลผู้สมัครที่ไม่ผ่านการพิจารณาและข้อมูลบุคคลอ้างอิงของผู้สมัคร
1.4 ความยินยอม (Consent)
เพื่อเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลตามความจำเป็น ยกตัวอย่างเช่น
- ข้อมูลสุขภาพเพื่อการพิจารณารับสมัครคัดเลือกเข้าทำงาน เข้ารับทุนการศึกษา รับการสนับสนุน/การให้สวัสดิการเบิกค่ารักษาพยาบาล/การรักษาพยาบาลที่ห้องพยาบาล/การตรวจสุขภาพประจำปี/โปรแกรมเพื่อสุขภาพต่างๆเช่น การ จัดฉีดวัคซีนและอื่นๆเป็นต้น
- ข้อมูลชีวภาพ (Biometric) เช่นข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองลายนิ้วมือ ข้อมูลจำลองม่านตา
เพื่อวัตถุประสงค์ในการตรวจสอบและพิสูจน์ตัวตนเพื่อลงเวลาทำงาน/เข้าประชุม/อบรมสัมมนา/เข้าร่วมกิจกรรม/เข้าอาคาร ข้อมูลประวัติอาชญากรรม ข้อมูลประวัติพฤติกรรม ถ้าเพื่อการพิจารณารับเข้าทำงาน เพื่อการพิจารณาเข้ารับทุนการศึกษา เพิ่มการพิจารณาเข้ารับการสนับสนุนตรวจสอบคุณสมบัติในงานที่รับผิดชอบ
2.วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
ประเภทข้อมูล | วัตถุประสงค์ในการประมวลผล |
ข้อมูลส่วนบุคคล –ชื่อ –อีเมล –ที่อยู่ –ที่อยู่สำนักงาน | เมื่อเยี่ยมชมเว็บไซต์ของบริษัทอาจถูกร้องขอให้ลงทะเบียนกับบริษัท และ/หรือ อาจจำเป็นต้องแจ้งข้อมูลส่วนบุคคลให้กับบริษัทเพื่อวัตถุประสงค์ เช่น –เพื่อตรวจสอบและยืนยันตัวตน –เพื่อรักษาความปลอดภัยต่อบัญชีผู้ใช้ |
–เบอร์โทรศัพท์ –เพศ –การตั้งค่าต่างๆ –การตั้งค่าความปลอดภัยในบัญชี –ข้อมูลอื่นที่เกี่ยวข้องที่มีการจัดเก็บเพิ่มเติมเพื่อประโยชน์ตามวัตถุประสงค์ –ไอพีแอดเดรส (IP Address) | –เพื่อแจ้งเกี่ยวกับการเปลี่ยนแปลงที่จะเกิดขึ้นเพื่อตรวจสอบตัวตน |
ข้อมูลพฤติกรรมการสืบค้น –ประเภทเบราว์เซอร์ –โดเมน –เว็บไซต์ที่เยี่ยมชม –เวลาเข้าเว็บไซต์ –ที่อยู่เว็บไซต์อ้างอิง –ข้อมูลเพื่อการสนับสนุนลูกค้า -Log | –เพื่อให้ข้อมูลในการเข้าและใช้เว็บไซต์ รวมถึงแอปพลิเคชันของบริษัท –เพื่อจัดทำเว็บไซต์และแอปพลิเคชัน :เพื่อการดำเนินการภายใน แก้ไขปัญหาของเว็บไซต์วิเคราะห์ข้อมูล ทดสอบ วิจัย เพื่อความปลอดภัย การตรวจสอบการบิดเบือนและการจัดการบัญชีผู้ใช้ –เพื่อแก้ไขและสำรวจปัญหา ของบริษัท ตามกฎหมายแรงงาน |
ข้อมูลระบบ | เพื่อให้ข้อมูลในการเข้าและใช้เว็บไซต์ของบริษัทเพื่อจัดการเว็บไซต์ เพื่อการดำเนินการภายใน แก้ไขปัญหาของเว็บไซต์ วิเคราะห์ข้อมูล ทดสอบ วิจัย เพื่อความปลอดภัย การตรวจสอบการบิดเบือน และการจัดการบัญชีผู้ใช้ เพื่อพัฒนาประสบการณ์ของผู้ใช้ |
ข้อมูลที่ตั้ง | เว็บไซต์จะใช้ข้อมูลที่คุกกี้ได้เก็บรวบรวมเพื่อการวิเคราะห์ทางสถิติ หรือกิจกรรมอื่นของบริษัท เพื่อพัฒนาผลิตภัณฑ์และบริการของบริษัทต่อๆไป |
คุกกี้ | เว็บไซต์จะใช้ข้อมูลที่คุกกี้ได้เก็บรวบรวมเพื่อการวิเคราะห์ทางสถิติ หรือกิจกรรมอื่นของบริษัทเพื่อพัฒนาผลิตภัณฑ์และบริการของบริษัทต่อๆไป |
3.ข้อมูลส่วนบุคคลที่จัดเก็บ
3.1 ข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลคือข้อมูลที่ทำให้สามารถระบุตัวตนได้ ไม่ว่าจะทางตรงหรือทางอ้อม (แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม) ได้แก่
- ข้อมูลส่วนบุคคลที่พนักงานหรือเจ้าของข้อมูลส่วนบุคคลให้แก่บริษัท โดยตรงทั้งการเก็บข้อมูลจากใบสมัครงาน สมัครทุนการศึกษา การขอรับการสนับสนุนการสัมภาษณ์และในระหว่างการได้รับทุนการศึกษาได้รับการสนับสนุนการฝึกงานหรือการจ้างงาน
- ข้อมูลส่วนบุคคลที่บริษัทได้รับหรือเข้าถึงได้จากแหล่งอื่นเช่นหน่วยงานของรัฐบริษัทในกลุ่มธุรกิจทางการเงิน สถาบันการเงินผู้ให้บริการทางการเงินพันธมิตรทางธุรกิจ บริษัทข้อมูลเครดิต และผู้ให้บริการข้อมูลเป็นต้น โดยบริษัทจะเก็บรวบรวมข้อมูลจากแหล่งอื่นต่อเมื่อได้ปฏิบัติตามข้อที่กฎหมายกำหนด เว้นแต่บริษัทมีความจำเป็นตามกรณีที่กฎหมายอนุญาตหรือสามารถเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ตามกฎหมายกำหนด
ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมใช้และเปิดเผยเช่น
–ข้อมูลส่วนตัวเช่นชื่อนามสกุลเพศอายุวันเดือนปีเกิดสถานที่เกิดสถานภาพสมรสสัญชาติเลขประจำตัวประชาชน หนังสือเดินทาง ความเป็นพลเมืองจะใช้ใบขับขี่สถานภาพการเกณฑ์ทหาร ประวัติการศึกษา ประวัติการทำงาน ประวัติการเรียนรู้ ใบอนุญาตต่างๆ โดยที่บัญชีธนาคาร
– ข้อมูลการติดต่อเช่น ที่อยู่ตามทะเบียนบ้าน ที่อยู่ปัจจุบัน หมายเลขโทรศัพท์ อีเมล ไอดีไลน์รวมถึงข้อมูลในโซเชียลมีเดียต่างๆ
– ข้อมูลเกี่ยวกับการจ้างงานเช่นตำแหน่งงานตำแหน่งองค์กรสังกัดต่างๆในองค์กรค่าจ้างผลตอบแทนอื่นการใช้สวัสดิการการลงเวลาทำงานการลางานการแต่งตั้งการโยกย้ายการเปลี่ยนตำแหน่ง การประเมินผลทดลองงานการประเมินผลการปฏิบัติงาน ทักษะความสามารถบุคลิกภาพและพฤติกรรมการสอบสวนการลงโทษ(ยกเว้นพฤติกรรมทางเพศ)
– ข้อมูลอุปกรณ์หรือเครื่องมือเช่น MAC Address IP Address Cookie ID IMEI
– ข้อมูลบุคคลที่สาม เช่นข้อมูลสมาชิกในครอบครัว ข้อมูลผู้รับผลประโยชน์จากสวัสดิการต่างๆ ข้อมูลผู้ติดต่อฉุกเฉิน ข้อมูลผู้ค้ำประกันการทำงานและบุคคลอ้างอิง
– ข้อมูลอื่นๆเช่นการใช้งานเว็บไซต์ความคิดเห็นความชื่นชอบงานอดิเรกผลการสอบข้อเขียนเสียงห้ามนิ่งภาพเคลื่อนไหวรวมถึงการเข้าร่วมกิจกรรมหรือแคมเปญต่างๆที่บริษัทจัดขึ้นและข้อมูลอื่นใดที่ถือว่าเป็นข้อมูลส่วนบุคคลตามกฎหมาย
3.2 ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)
ข้อมูลส่วนบุคคลที่มีความอ่อนไหวคือข้อมูลส่วนบุคคลที่กฎหมายกำหนดเป็นการเฉพาะเช่นเชื้อชาติความคิดเห็นทางการเมืองความเชื่อในลัทธิศาสนาหรือปรัชญาพฤติกรรมทางเพศประวัติอาชญากรรมข้อมูลสุขภาพ
ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ(Biometric) หรือข้อมูลอื่นใดในทำนองเดียวกันที่กฎหมายกำหนด ซึ่งบริษัทต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ โดยบริษัทจะเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวรวมทั้งส่งหรือโอนข้อมูลส่วนบุคคลที่มีความอ่อนไหวต่างประเทศต่อเมื่อบริษัทได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลหรือในกรณีที่บริษัทมีความจำเป็นตามกรณีที่กฎหมายอนุญาตหรือสามารถเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ตามที่กฎหมายกำหนด
(ต่อไปนโยบายฉบับนี้หากไม่กล่าวโดยเฉพาะเจาะจงจะเรียกข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่มีความอ่อนไหวข้างต้นรวมกันว่า “ข้อมูลส่วนบุคคล”)
4.การเปิดเผยและถ่ายโอนข้อมูลส่วนบุคคล
4.1 การเปิดเผยข้อมูลบุคคล
บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้อื่นภายใต้ความยินยอมของเจ้าของข้อมูลส่วนบุคคล หรือฐานทางกฎหมายตามวัตถุประสงค์ที่ระบุไว้ในนโยบายฉบับนี้เช่นผู้ประมวลผลข้อมูลส่วนบุคคลผู้ให้บริการภายนอกทั้งในประเทศและต่างประเทศ ตัวแทนของบริษัทหน่วยงานหรือบริษัทภายนอกที่บริษัทไปศึกษาดูงานผู้รับจ้างช่วงงานต่อสถาบันการเงินผู้สอบบัญชี ผู้ตรวจสอบภายนอกผู้มีอำนาจตามกฎหมายผู้สนใจจะเข้ารับโอนสิทธิ และ/หรือ ผู้รับโอนสิทธิหรือการควบคุมกิจการต่างๆของบริษัท นิติบุคคล/บุคคลใดๆ ที่มีความสัมพันธ์หรือมีสัญญาอยู่กับบริษัท ซึ่งรวมตลอดถึง ผู้บริหาร พนักงาน ผู้รับจ้าง ตัวแทนที่ปรึกษาของบริษัท และของบุคคลหรือหน่วยงานที่เป็นผู้รับข้อมูลดังกล่าว
4.2การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
หากบริษัทมีการดำเนินธุรกิจต่างประเทศ บริษัทจึงอาจมีความจำเป็นต้องส่งโอนข้อมูลส่วนบุคค
ไปยังกลุ่มบริษัท/กิจการ/ธุรกิจ ที่อยู่ต่างประเทศ ซึ่งอาจเป็นประเทศที่เจ้าของข้อมูลส่วนบุคคลทำงาน หรือไปยังผู้รับข้อมูลอื่นซึ่งเป็นส่วนหนึ่งของการดำเนินธุรกิจตามปกติของบริษัทเช่นการส่งหรือโอนข้อมูลส่วนบุคคลไปเก็บไว้บน Server/Cloud ในประเทศต่างๆ กรณีที่ประเทศปลายทางที่อยากมีมาตรฐานไม่เพียงพอบริษัทจะดูแลการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามกรณี ที่กฎหมายกำหนด แล้วจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลและมาตรการเยียวยาตามที่เห็นว่าจำเป็นและเหมาะสมสอดคล้องกับมาตรฐานการรักษาความลับตามที่กฎหมายประเทศนั้นกำหนด เช่น กำหนดให้ผู้รับข้อมูลมีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เทียบเท่ากับมาตรการของบริษัท มีข้อตกลงรักษาความลับกับผู้รับข้อมูลในประเทศดังกล่าว หรือในกรณีที่ผู้รับข้อมูลเป็นกลุ่มบริษัท ภูริ เอสเตท/กิจการธุรกิจเดียวกัน บริษัทอาจเลือกใช้วิธีดำเนินการให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรองจากผู้มีอำนาจตามกฎหมายที่เกี่ยวข้อง และจะดำเนินการให้ การส่งหรือโอนข้อมูลส่วนบุคคลไปยังกลุ่มบริษัทภูริ เอสเตท/ธุรกิจเดียวกัน ที่อยู่ต่างประเทศ เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวแทนการดำเนินการตามที่กฎหมายกำหนดไว้ก็ได้
5.การใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ
การรับสมัครงานและบรรจุเข้าเป็นพนักงานของบริษัทหรือการดำเนินการตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลของบริษัทในบางกรณีบริษัทมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษเช่นข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติศาสนาหรือปรัชญาพฤติกรรมทางเพศความพิการข้อมูลประวัติอาชญากรรมข้อมูลสหภาพแรงงานข้อมูลพันธุกรรมข้อมูลชีวภาพและข้อมูลสุขภาพเป็นต้นซึ่งในกรณีนี้บริษัทจะแจ้งและขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษเพื่อดำเนินการตามวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคลของบริษัทต่อไป
หมวดที่ 3
คุ้มครองข้อมูลส่วนบุคคลสำหรับผู้มีส่วนได้เสียภายนอก (External Stakeholder)
บริษัทฯตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของผู้มีส่วนได้เสียภายนอก ซึ่งหมายรวมถึงลูกค้า ผู้เช่าผู้ให้เช่าผู้ถือหุ้น และที่ปรึกษา บริษัทฯจึงกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลเพื่ออธิบายวิธีการที่บริษัทเก็บรวบรวมใช้เปิดเผยและ/หรือ โอนไปยังต่างประเทศซึ่งข้อมูลส่วนบุคคลตลอดจนการแจ้งสิทธิ์ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเพื่อแสดงความโปร่งใสของบริษัทฯในการดำเนินกิจกรรมที่เกี่ยวข้องอันสอดคล้องกับข้อกำหนด ภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
- ประเภทของเจ้าของข้อมูลส่วนบุคคลภายใต้นโยบายคุ้มครองข้อมูลส่วนบุคคลในหมวดนี้ ได้แก่
- 1.1.ลูกค้าบุคคลธรรมดาของบริษัทซึ่งรวมไปถึงบุคคลธรรมดาซึ่งใช้หรือเคยใช้ผลิตภัณฑ์หรือบริการ ผู้ติดต่อสอบถามข้อมูลผลิตภัณฑ์บริการผู้ที่รับทราบข้อมูลผลิตภัณฑ์หรือบริการผ่านสื่อต่างๆและผู้ได้รับการเสนอหรือชักชวนจากบริษัทให้ใช้หรือรับผลิตภัณฑ์หรือบริการ
- 1.2.คู่ค้าได้แก่พันธมิตรทางธุรกิจที่บริษัทจัดซื้อจัดจ้างสินค้าและ/หรือบริการ
- 1.3.ผู้ลงทุน ผู้ถือหุ้น และที่ปรึกษา
- วัตถุประสงค์ในการเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคล
บริษัทมีวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล ดังนี้
- 2.1.เพื่อการให้บริการการปรับปรุงผลิตภัณฑ์และบริการของบริษัท รวมถึงบริการหรือผลิตภัณฑ์อื่นๆที่จะมีในอนาคต ตลอดจนการดูแลการบำรุงรักษา และการดำเนินการที่เกี่ยวข้องกับการให้บริการดังกล่าว
- 2.2.เพื่อการดำเนินธุรกรรมต่างๆที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการของบริษัทเช่นการผ่อนดาวน์การนัดตรวจ การนัดโอนกรรมสิทธิ์ กิจกรรมที่เกี่ยวข้องกับการบริหารงานนิติบุคคลอาคารชุดนิติบุคคลหมู่บ้านจัดสรรเป็นต้น
- 2.3.เพื่อการบริหารความสัมพันธ์ระหว่างบริษัทกับเจ้าของข้อมูลส่วนบุคคล
- 2.4.เพื่อยืนยันและ/หรือ ระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลในการเข้าใช้บริการผ่านช่องทางต่างๆหรือการติดต่อกับบริษัท
- 2.5.เพื่อการติดต่อสื่อสารแจ้งและ/หรือ รับข้อมูลข่าวสารต่างๆจากบริษัทหรือการเปลี่ยนแปลงต่างๆที่เกิดขึ้นของบริษัท
- 2.6.เพื่อการดำเนินการตามความประสงค์ของเจ้าของข้อมูลส่วนบุคคลที่ได้แจ้งไว้กับบริษัท
- 2.7.เพื่อการนำเสนอสิทธิประโยชน์ต่างๆและ/หรือ บริการอื่นๆของบริษัทอาทิ การให้คำแนะนำและ/หรือ ข้อเสนอเกี่ยวกับผลิตภัณฑ์และการบริการรวมถึงโปรโมชั่นต่างๆในการส่งเสริมกิจกรรมทางการตลาดรวมถึงการทำธุรกรรมที่เกี่ยวข้องกับการใช้บริการของบริษัท
- 2.8.เพื่อการดำเนินธุรกิจของบริษัทเช่นการวิเคราะห์ข้อมูล การตรวจสอบ การพัฒนาผลิตภัณฑ์ใหม่ การปรับปรุงหรือเปลี่ยนแปลงการบริการ การวิเคราะห์การใช้งานด้านบริการ การสำรวจการจัดกิจกรรมส่งเสริมการขายการพิจารณาการดำเนินงานและขยายธุรกิจของบริษัท
- 2.9.เพื่อการดำเนินการใดๆที่จำเป็นและเหมาะสมในกรณีต่างๆดังนี้
- ตรวจสอบและป้องกันการกระทำที่ละเมิดหรืออาจจะละเมิดต่อกฎหมาย
- ตอบสนองต่อคำขอจากหน่วยงานรัฐหรือรัฐบาลรวมถึงหน่วยงานของรัฐหรือรัฐบาลต่างประเทศที่เจ้าของข้อมูลส่วนบุคคลอาศัยอยู่
- บังคับใช้ข้อกำหนดในการให้บริการนโยบายที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของบริษัท
- ปกป้องการดำเนินธุรกิจของบริษัท
- ปกป้องสิทธิความเป็นส่วนตัว ความปลอดภัยหรือทรัพย์สินของบริษัท บุคลากรและเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น
- เยียวยาป้องกันหรือจำกัดความเสียหายที่อาจเกิดขึ้น
- 2.10.เพื่อปฏิบัติตามกฎหมายการสืบสวนของเจ้าพนักงานหรือหน่วยงานกำกับดูแลหรือเพื่อให้เป็นไปตามกฎข้อบังคับ หรือข้อผูกพันตามที่กฎหมายหรือภาครัฐกำหนด
- 2.11.เพื่อการดำเนินการตามหน้าที่อื่นๆของบริษัทซึ่งขึ้นอยู่กับความสัมพันธ์ระหว่างบริษัทกับเจ้าของข้อมูลส่วนบุคคลเช่น ในฐานะ ผู้ถือหุ้นของบริษัทฯ ที่บริษัทจะดำเนินการส่งจดหมายเพื่อเชิญเข้าร่วมประชุมผู้ถือหุ้น หรือในฐานะที่ปรึกษาบริษัท ที่บริษัทฯดำเนินการแต่งตั้ง รวมทั้งในฐานะใดก็ตามที่บริษัทฯจะต้องดำเนินการอันเนื่องมาจากหน้าที่ตามสัญญาหรือข้อตกลงใดๆที่เกี่ยวข้อง
ทั้งนี้วัตถุประสงค์อื่นๆที่ไม่ได้ระบุไว้ข้างต้นเจ้าของข้อมูลส่วนบุคคลจะได้รับการแจ้งเมื่อบริษัทมีการขอเก็บรวบรวมข้อมูลส่วนบุคคล
อนึ่ง ในการได้ข้อมูลส่วนบุคคลนั้นบริษัทจะเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์ตามข้อ 1 เฉพาะเมื่อเข้าเงื่อนไขดังต่อไปนี้
- เจ้าของข้อมูลได้ให้ความยินยอมไว้กับบริษัทตามกฎหมาย (Consent)
- เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอก่อนเข้าทำสัญญานั้น (Contract)
- เป็นการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือ สุขภาพของบุคคล (Vital Interest)
- เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท หรือปฏิบัติหน้าที่ในการใช้อำนาจที่รัฐได้มอบหมายให้แก่บริษัท(Public Task)
- เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือของบุคคลหรือนิติบุคคลอื่นเว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคล(Legitimate Interest
- เป็นความจำเป็นเพื่อปฏิบัติตามกฎหมาย (Legal Obligation)
- มีการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะหรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ โดยบริษัทจะจัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพ(Scientific or Historical Research)
3.วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
ประเภทข้อมูล | วัตถุประสงค์ในการประมวลผล |
ข้อมูลส่วนบุคคล –ชื่อ –อีเมล –ที่อยู่ –ที่อยู่สำนักงาน –เบอร์โทรศัพท์ –เพศ –การตั้งค่าต่างๆ –การตั้งค่าความปลอดภัยในบัญชี –ข้อมูลอื่นๆที่เกี่ยวข้องที่มีการจัดเก็บเพิ่มเติมเพื่อประโยชน์ตามวัตถุประสงค์ –หมายเลขบัตรเครดิต –ไอพี แอดเดรส (IP Address) | เมื่อมีการเยี่ยมชมเว็บไซต์ของบริษัทอาจถูกร้องขอให้ลงทะเบียนกับบริษัทและหรืออาจจำเป็นต้องแจ้งข้อมูลส่วนบุคคลให้กับบริษัท เพื่อวัตถุประสงค์ในการจัดเก็บข้อมูลเพื่อการตลาดของบริษัทเช่น –เพื่อติดต่อและเสนอบริการของบริษัทหรือข้อเสนออื่นๆเกี่ยวกับ บริษัทภูริเอสเตท ซึ่งเจ้าของข้อมูลส่วนบุคคลอาจจะเคยแสดงถึงความสนใจกับบริษัท –เพื่อแจ้งเกี่ยวกับข่าวสารผลิตภัณฑ์และจดหมายข่าว –เพื่อตรวจสอบตัวตน –เพื่อรักษาความปลอดภัยต่อบัญชีผู้ใช้ –เพื่อแจ้งเกี่ยวกับการเปลี่ยนแปลงที่จะเกิดขึ้น –ข้อมูลบัตรเครดิตจะถูกจัดเก็บและถูกตรวจสอบผ่านทางระบบชำระเงินผ่านบุคคลที่สามข้อมูลนี้จะไม่ถูกจัดเก็บอย่างถาวรในเซิร์ฟเวอร์ของบริษัทและจะถูกลบทันทีหลังจากผ่านระบบการตรวจสอบโดยระบบชำระเงินของบุคคลที่สาม –เพื่อตรวจสอบตัวตน |
ข้อมูลพฤติกรรมการสืบค้น –ประเภทเบราว์เซอร์ –โดเมน –เว็บไซต์ที่เยี่ยมชม –เวลาเข้าเว็บไซต์ –ที่อยู่เว็บไซต์อ้างอิง –ข้อมูลเพื่อการสนับสนุนลูกค้า -Log | ข้อมูลในการเข้าใช้เว็บไซต์รวมถึง แอปพลิเคชันของบริษัท –เพื่อจัดการเว็บไซต์และแอปพลิเคชัน เพื่อการดำเนินการภายในแก้ไขปัญหาของเว็บไซต์วิเคราะห์ ข้อมูลทดสอบ วิจัย เพื่อความปลอดภัย การตรวจสอบการบิดเบือนและการจัดการบัญชีผู้ใช้ –เพื่อแก้ไขและสำรวจปัญหา |
ข้อมูลระบบ | เพื่อให้ข้อมูลในการเข้าและใช้เว็บไซต์ของบริษัท เพื่อจัดการเว็บไซต์ :เพื่อการดำเนินการภายใน แก้ไขปัญหาของเว็บไซต์ วิเคราะห์ข้อมูล ทดสอบ วิจัย เพื่อความปลอดภัย การตรวจสอบการบิดเบือน และการจัดการบัญชีผู้ใช้ เพื่อพัฒนาประสบการณ์ของผู้ใช้ |
ข้อมูลที่ตั้ง | เว็บไซต์จะใช้ข้อมูลที่คุกกี้ได้เก็บรวบรวมเพื่อการวิเคราะห์ทางสถิติ หรือกิจกรรมอื่นของ ของภูริเอสเตท เพื่อพัฒนาผลิตภัณฑ์และบริการของบริษัทต่อๆไป |
คุกกี้ | เว็บไซต์จะใช้ข้อมูลที่คุกกี้ได้เก็บรวบรวมเพื่อการวิเคราะห์ทางสถิติ หรือกิจกรรมอื่นของบริษัทเพื่อพัฒนาผลิตภัณฑ์และบริการของบริษัทต่อไป |
4.ข้อมูลส่วนบุคคลที่จัดเก็บ
บริษัทจะทำการเก็บรวบรวมข้อมูลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้กับบริษัทโดยตรงหรือข้อมูล
ส่วนบุคคลที่บริษัทได้รับจากการให้บริการหรือการดำเนินงานของบริษัทผ่านทุกช่องทาง
4.1ข้อมูลส่วนบุคคล หมายถึง ข้อมูลที่เกี่ยวข้องกับการระบุตัวตนของบุคคลธรรมดา บุคคลธรรมดาที่ระบุตัวตนได้หมายความถึง บุคคลซึ่งสามารถถูกระบุตัวตนได้โดยเฉพาะเจาะจงโดยตรงหรือโดยอ้อม โดยอ้างอิงจากตัวบ่งชี้ใดๆเช่น
– ชื่อ
– อีเมล
– ที่อยู่/ที่อยู่สำนักงาน
– เพศ
– เบอร์โทรศัพท์
– หมายเลขบัตรเครดิต
– หมายเลขประจำเครื่องคอมพิวเตอร์ (IP address)
4.2 ข้อมูลพฤติกรรมการสืบค้นหมายถึงข้อมูลที่ไม่เกี่ยวข้องต่อบุคคลธรรมดาที่ระบุตัวตนได้
เช่น ประเภทเบราว์เซอร์
4.3 โดเมน เว็บไซต์ที่เยี่ยมชมเวลาเข้าเว็บไซต์ ที่อยู่เว็บไซต์อ้างอิงข้อมูลเพื่อการสนับสนุนลูกค้า โดยจะมีการเก็บ log การใช้งานจากแอปพลิเคชันของทางบริษัท
4.4 ข้อมูลระบบ หมายถึง ข้อมูลที่บริษัทจัดเก็บโดยอัตโนมัติ เมื่อล๊อคอินเข้าสู่เว็บไซต์ของบริษัท ไม่ว่าจะผ่านทางคุกกี้ เว็บบีคอน ไฟล์ล๊อคอิน สคริปท์ (โปรดดูรายละเอียดเพิ่มเติมในนโยบายคุกกี้ของบริษัท) รวมถึง ข้อมูลทางเทคนิค เช่น ที่อยู่ไอพี ประเภทของเบราว์เซอร์ โดเมน ประวัติเว็บไซต์ที่เยี่ยมชม เวลาการเข้าใช้งาน ที่อยู่เว็บไซต์ที่อ้างอิง ข้อมูลเกี่ยวกับสิ่งที่ค้นหาหรือที่ดูในขณะที่ใช้เว็บไซต์ของบริษัท รวมถึงพฤติกรรมการใช้งานแอปพลิเคชัน
4.5 ข้อมูลที่ตั้ง หมายถึง ข้อมูลที่ได้รับจากจีพีเอส ไวไฟ เข็มทิศ เครื่องวัดความเร่ง IP Address หรือโพสต์สาธารณะซึ่งระบุข้อมูลที่ตั้ง
4.6 คุกกี้ หมายถึง ข้อมูลที่ถูกวางในคอมพิวเตอร์โดยเว็บเซิร์ฟเวอร์ หลังจากคุกกี้ได้ถูกวางในคอมพิวเตอร์ คุกกี้จะเก็บหรือจดจำข้อมูลของผู้ใช้จนกว่าผู้ใช้จะปิดบราวเซอร์นั้นหรือจนกว่าผู้ใช้จะลบหรือปฏิเสธคุกกี้ อย่างไรก็ตามจะพบว่าเป็นการสะดวกในการนำทางการใช้เว็บไซต์ได้อย่างง่ายดาย เพราะคุกกี้จะช่วยเก็บข้อมูลเว็บไซต์ซึ่งเยี่ยมชม หรือเปิดขึ้น
5. การเปิดเผยและถ่ายโอนข้อมูลส่วนบุคคล
5.1 การเปิดเผยข้อมูลส่วนบุคคล
บริษัทเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอกและ/หรือองค์กร หรือหน่วยงานภายนอกเฉพาะในกรณีดังต่อไปนี้
–ผู้รับเหมา/คู่สัญญา: ในกรณีที่บริษัททำการจ้างผู้รับเหมาเพื่อดำเนินการใดอันจำเป็นใช้ข้อมูลส่วนบุคคลเช่น รหัสไปรษณีย์ การวิเคราะห์ทางสถิติ หรือกิจกรรมออนไลน์ เว็บไซต์จะกำหนดให้ผู้รับเหมาในการดำเนินการนั้นเพื่อป้องกันความเป็นส่วนตัวของข้อมูลส่วนบุคคลและต้องห้ามมิให้ผู้รับเหมาใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นใดนอกจากเพื่อสนับสนุนกิจกรรมหรืองานของบริษัทฯ
–ผู้ขาย/นายหน้าในบางกรณีบริษัทอาจทำการแชร์ข้อมูลต่อผู้ขายหรือนายหน้าซึ่งได้รับอนุญาตแล้ว
–หน่วยงานรัฐบาลรัฐบาลหรือองค์กรอื่นตามกฎหมายเพื่อเป็นการปฏิบัติตามกฎหมายคำสั่ง
คำร้องขอ เพื่อการประสานงานกับหน่วยงานต่างๆในเรื่องที่เกี่ยวข้องกับการปฏิบัติตามกฎหมาย
5.2 การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
ในกรณีที่บริษัทมีการโอน ถ่าย และ/หรือ ส่งข้อมูลไปยังต่างประเทศ บริษัทจะกำหนดมาตรฐานในการทำข้อตกลง และ/หรือ สัญญาร่มธุรกิจกับหน่วยงาน องค์กรที่จะได้รับข้อมูลส่วนบุคคลนั้น มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เป็นที่ยอมรับ และสอดคล้องกับกฏหมายที่เกี่ยวข้อง เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลนั้น จะได้รับการคุ้มครองอย่างปลอดภัย อาทิเช่น
–กรณีที่บริษัทมีความจำเป็นในการจัดเก็บ และ/หรือ โอน ถ่าย ข้อมูลส่วนบุคคล เพื่อการจัดเก็บ
–การประมวลผลในระบบคลาวด์ (Cloud) บริษัทจะพิจารณาองค์กรที่มีมาตรฐานความมั่นคงปลอดภัยในระดับสากล และจัดเก็บข้อมูลส่วนบุคคลในรูปแบบการเข้ารหัส หรือวีธีการอื่นๆที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ เป็นต้น
6.การใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ
ในการเสนอขายผลิตภัณฑ์หรือให้บริการของบริษัท หรือการดำเนินการตามวัตถุประสงค์
ในการเก็บรวบรวมข้อมูลส่วนบุคคลของบริษัทในบางกรณี บริษัทมีความจำเป็นต้องรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ เช่น ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพและข้อมูลสุขภาพ เป็นต้น ซึ่งในกรณีนี้บริษัทจะแจ้งและขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เพื่อใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษเพื่อดำเนินการตามวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคลของบริษัทต่อไป
7.การใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด
นอกจากวัตถุประสงค์ดังกล่าวข้างต้นและภายใต้ข้อกำหนดของกฎหมาย บริษัทจะใช้
ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด เช่น การจัดส่งเอกสารเกี่ยวกับโปรโมชั่นต่างๆทางไปรษณีย์ อีเมล และด้วยวิธีการอื่นใดรวมถึงการดำเนินการด้านการตลาดแบบตรง เพื่อเพิ่มสิทธิประโยชน์ ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากการเป็นลูกค้าของบริษัทผ่านการแนะนำผลิตภัณฑ์และบริการที่เกี่ยวข้อง
เจ้าของข้อมูลส่วนบุคคลสามารถเลือกที่จะไม่รับการสื่อสารเพื่อวัตถุประสงค์ทางการตลาดจาก
บริษัท ยกเว้นการติดต่อสื่อสารที่เกี่ยวข้องและจำเป็น และ/หรือบริการที่บริษัทได้ให้แก่เจ้าของข้อมูลส่วนบุคคลเช่นใบแจ้งเตือนการชำระค่างวดและใบเสร็จรับเงินเป็นต้น
หมวดที่ 4
หลักเกณฑ์ในการจัดเก็บ การใช้ และการทำลายข้อมูลส่วนบุคคล
1. การจัดเก็บข้อมูลส่วนบุคคล (Personal Data Retention)
บริษัทฯจะจัดเก็บข้อมูลส่วนบุคคลตราบเท่าที่จำเป็นโดยคำนึงถึงวัตถุประสงค์และความจำเป็นที่บริษัทจะต้องดำเนินการจัดเก็บรวบรวมและประมวลผล ซึ่งรวมไปถึงการปฏิบัติตามข้อกำหนดของกฎหมายที่ใช้บังคับในเรื่องดังกล่าว บริษัทจะเก็บข้อมูลส่วนบุคคลไว้หลังระยะเวลาที่สัญญาที่เจ้าของข้อมูลส่วนบุคคล ได้ทำไว้กับบริษัทสิ้นผลบังคับระยะเวลาหนึ่ง และสอดคล้องตามระยะเวลาและอายุความของกฎหมายที่เกี่ยวข้อง โดยบริษัทจัดเก็บไว้ในสถานที่จัดเก็บที่เหมาะสมตามประเภทของข้อมูลส่วนบุคคล ทั้งนี้บริษัทจำเป็นต้องเก็บข้อมูลส่วนบุคคลต่อไปแม้จะพ้นกำหนดอายุความตามกฎหมายก็ตาม เช่น กรณีอยู่ระหว่างการดำเนินคดีหรือพิจารณาคดีตามกฎหมาย เป็นต้น โดยบริษัทฯกำหนดระยะเวลาในการจัดเก็บข้อมูลแต่ละประเภท ดังนี้
ประเภทของข้อมูล | เงื่อนไขเริ่มระยะเวลาจัดเก็บ | ระยะเวลาในการจัดเก็บ | การดำเนินงาน | เหตุผลในการจัดเก็บและกฎหมายที่เกี่ยวข้อง |
ข้อมูลลูกค้าของบริษัทฯ | สิ้นสุดสัญญา | 11 ปี (อายุความ10 ปี+ ระยะเวลาตั้งต้นคดี1 ปี) | ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป | สิทธิและหน้าที่ตามสัญญาซื้อขาย |
ข้อมูลจากลูกค้าที่ยังไม่มีนิติสัมพันธ์กับ บริษัทฯ (Lead) | กิจกรรมล่าสุด (Last activity) | 5 ปี | ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป | ดำเนินกิจกรรมทางการตลาด |
ผู้สมัครงานที่ไม่ได้รับเลือกจากบริษัทฯ | สิ้นสุดขั้นตอนการพิจารณารับสมัครงาน | 2 ปี | ลบ/ทำลาย | – |
ข้อมูลพนักงานและข้อมูลอื่นๆที่เกี่ยวเนื่อง | สิ้นสุดสัญญาจ้าง | 11 ปี (อายุความ10 ปี+ ระยะเวลาตั้งต้นคดี1 ปี) | ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป | พ.ร.บ.คุ้มครองแรงงาน ม.115 |
ประเภทของข้อมูล | เงื่อนไขเริ่มระยะเวลาจัดเก็บ | ระยะเวลาในการจัดเก็บ | การดำเนินงาน | เหตุผลในการจัดเก็บและกฎหมายที่เกี่ยวข้อง |
ข้อมูลตัวแทน | สิ้นสุดสัญญาตัวแทน | 11 ปี (อายุความ10 ปี+ ระยะเวลาตั้งต้นคดี1 ปี) | ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป | พ.ร.บ.คุ้มครองแรงงาน ม.115 |
สัญญาค้ำประกันของพนักงาน | สิ้นสุดสัญญา | 11 ปี (อายุความ10 ปี+ ระยะเวลาตั้งต้นคดี1 ปี) | ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป | ปฏิบัติตามสัญญา ใช้สิทธิเรียกร้องตามสัญญา |
ข้อมูลของบุคคลที่เกี่ยวเนื่องกับการเรียกร้องต่อบริษัท(การดำเนินคดี) | คดีถึงที่สิ้นสุด (เช่นการได้รับคำพิพากษาถึงที่สุดการประนีประนอมยอมความการถอนฟ้อง) | 10 ปี (ระยะเวลาบังคับคดี) | ลบ/ทำลาย | ประมวลกฎหมายวิธีพิจารณาความแพ่งภาค4 ลักษณะ2 การบังคับตามคำพิพากษาหรือคำสั่ง |
ข้อมูลของคู่ค้าที่ไม่มีนิติสัมพันธ์กับบริษัท | กิจกรรมล่าสุด (Last Activity) | 3 ปี | ลบ/ทำลาย | เพื่อใช้พิจารณาผู้ให้บริการ/ทำใบเสนอราคา |
ข้อมูลลูกค้าของบริษัท | สิ้นสุดสัญญา | 11 ปี (อายุความ10 ปี+ ระยะเวลาตั้งต้นคดี1 ปี) | ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป | ปฏิบัติตามสัญญา ใช้สิทธิเรียกร้องตามสัญญา |
ข้อมูลเพื่อความปลอดภัยสำหรับการบริหารธุรกิจรายวัน | วันที่มีการเก็บรวบรวมข้อมูล | 3 เดือน (อายุความคดีอาญา) | ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป | รักษาความปลอดภัยใช้ในการดำเนินคดี ให้ความร่วมมือตามหมายเรียก |
ประเภทของข้อมูล | เงื่อนไขเริ่มระยะเวลาจัดเก็บ | ระยะเวลาในการจัดเก็บ | การดำเนินงาน | เหตุผลในการจัดเก็บและกฎหมายที่เกี่ยวข้อง |
Guest Wifi | สิ้นสุดการใช้งาน | 90 วัน | ลบ/ทำลาย | รักษาความปลอดภัย ใช้ในการดำเนินคดีให้ความร่วมมือตามหมายเรียก พรบ. การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 |
ข้อมูลเพื่อความปลอดภัยในด้านระบบโครงสร้าง | วันที่มีการเก็บรวบรวมข้อมูล | 120 วัน | ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป | รักษาความปลอดภัย ใช้ในการดำเนินคดีให้ความร่วมมือตามหมายเรียก พรบ. การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 |
เอกสารที่มีข้อมูลทางด้านภาษี | เมื่อครบรอบปีภาษีนั้นๆ | 11 ปี (อายุความ10 ปี+ ระยะเวลาตั้งต้นคดี1 ปี) | ทบทวนเหตุผลและความจำเป็นในการจัดเก็บต่อไป | ประมวลรัษฎากร |
ทั้งนี้บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลตามมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค(Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) เพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลข้อมูลส่วนบุคคลที่เหมาะสม หมายความว่ามีการธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน(Integrity) และข้อมูลอยู่ในลักษณะที่พร้อมใช้งาน (Availability) และเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล
นอกจากนี้บริษัทยังได้กำหนดให้พนักงาน บุคลากร ตัวแทน และผู้รับข้อมูลจากบริษัทมีหน้าที่รักษาข้อมูลส่วนบุคคลไว้เป็นความลับและมีความปลอดภัยตามมาตรการที่บริษัทกำหนด เมื่อต้องการมีการดำเนินการใดๆกับข้อมูลส่วนบุคคล
หมายเหตุ การจัดเก็บข้อมูลอื่นๆนอกเหนือจากที่ระบุตามตารางบริษัทฯจะทำการจัดเก็บเท่าที่จำเป็น
- การใช้ข้อมูลส่วนบุคคล(Personal Data Usage)
2.1 ให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลดูแลเรื่องการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามนโยบายของบริษัท รวมทั้งกฎหมายและกฎเกณฑ์ที่เกี่ยวข้องทั้งนี้หากมีข้อสงสัยข้อซักถามหรือมีกรณีที่ต้องขอความเห็น หรือต้องให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลดำเนินการใดๆสามารถติดต่อได้ตามช่องทางดังนี้ อีเมล์หน่วยงาน Data Protection Officer : dpo@puri.co.th
2.2 ห้ามพนักงานเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล นอกเหนือจากวัตถุประสงค์และฐานการประมวลผลซึ่งบริษัทได้ระบุไว้ในบันทึกรายการและการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity – ROPA)
2.3 ฐานการประมวลผลข้อมูลส่วนบุคคลของบริษัทจะต้องเป็นไปตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลโดยฐานในการประมวลผลข้อมูลส่วนบุคคลประกอบด้วย
(1) ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
(2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกายหรือสุขภาพของบุคคล
(3) เพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลเป็นผู้สัญญาหรือเพื่อให้ใช้ในการดำเนินการตาม คำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญา
(4) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ
(5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท
(6) เป็นการจำเป็นที่บริษัทต้องปฏิบัติตามกฎหมาย
2.4 เก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการข้อมูลพันธุกรรมข้อมูลชีวภาพหรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในลักษณะเดียวกัน จะต้องพิจารณาฐานในการประมวลผลข้อมูลส่วนบุคคลดังกล่าวซึ่งประกอบด้วย
(1) ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
(2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกายหรือสุขภาพของบุคคล
(3) เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไร
(4) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
(5) เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย
(6) เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ
–เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของพนักงานการวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม
–ประโยชน์สาธารณะด้านการสาธารณสุขเช่นการป้องกันสุขภาพจากโรคติดต่ออันตรายหรือโรคระบาดที่จะติดต่อหรือแพร่เข้ามาในราชอาณาจักร
–การคุ้มครองแรงงาน ประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิ์ตามกฎหมายการคุ้มครองผู้ประสบภัยจากรถ หรือการคุ้มครองทางสังคม
–การศึกษาวิจัยทางวิทยาศาสตร์ประวัติศาสตร์หรือสถิติหรือประโยชน์สาธารณะอื่นทั้งนี้ต้องกระทำเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จำเป็นเท่านั้น
–ประโยชน์สาธารณะที่สำคัญโดยให้จัดให้มีการมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
2.5 ในกรณีที่พนักงานมีความจำเป็นต้องเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่เป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะ(อายุยังไม่ครบยี่สิบปีบริบูรณ์) หรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว การขอความยินยอมจากเจ้าของข้อมูลให้พนักงานดำเนินการดังต่อไปนี้
(1) กรณีเจ้าของข้อมูลเป็นผู้เยาว์ที่มีอายุต่ำกว่า10ปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
(2) กรณีเจ้าของข้อมูลเป็นผู้เยาว์ที่มีอายุเกิน 10 ปีแต่ไม่เกิน 20 ปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์และผู้เยาว์
(3) กรณีเจ้าของข้อมูลเป็นคนไร้ความสามารถ ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ
(4) กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
2.6 ห้ามไม่ให้พนักงานทำการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลแตกต่างจากวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลไว้ก่อนหรือในขณะที่เก็บรวบรวมเว้นแต่ได้แจ้งวัตถุประสงค์ใหม่นั้นให้เจ้าของข้อมูลทราบหากมีการพิจารณาในการใช้ฐานความยินยอมบริษัทฯได้รับความยินยอมก่อนเก็บรวบรวมใช้หรือเปิดเผยแล้ว
2.7 ในการเก็บรวบรวมข้อมูลส่วนบุคคล ให้พนักงานแจ้งรายละเอียดต่อไปนี้ต่อเจ้าของข้อมูลรับทราบ
(1) วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย
(2) แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา รวมทั้งแจ้งถึงผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล
(3) ข้อมูลส่วนบุคคลที่จะมีการเก็บรวม รวมถึงระยะเวลาในการเก็บรวบรวมไว้ ในกรณีที่ไม่สามารถกำหนดระยะเวลาดังกล่าวได้ชัดเจน ให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม
(4) บุคคลหรือหน่วยงานของพนักงานซึ่งเป็นผู้รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
(5) แจ้งข้อมูลสถานที่ติดต่อ และวิธีการติดต่อกลับมายังบริษัท
(6) สิทธิของเจ้าของข้อมูลส่วนบุคคล
2.8 ห้ามมิให้พนักงานทำการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น ที่ไม่ใช่จากเจ้าของข้อมูล
โดยตรง เว้นแต่ได้แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลทราบภายในสามสิบวันนับแต่วันที่เก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูล
2.9 ในการประมวลผลข้อมูลส่วนบุคคล พนักงานจะต้องคำนึงถึงความมั่นคงปลอดภัยสารสนเทศและข้อมูลส่วนบุคคล ซึ่งรวมถึง การธำรงไว้ซึ่งความลับ(Confidentiality) ความถูกต้องครบถ้วน(Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคลอยู่เสมอ เพื่อการป้องกันการประมวลผลข้อมูลส่วนบุคคลโดยผู้ที่ไม่มีสิทธิ การลบหรือทำลายข้อมูลทั้งโดยความตั้งใจและไม่ตั้งใจและรวมถึงการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศให้อยู่ในระดับที่องค์กรยอมรับได้
2.10 พนักงานจะต้องรักษาอุปกรณ์ที่สามารถเข้าถึงข้อมูลส่วนบุคคลมิให้สูญหาย หรือถูกทำลาย และห้ามมิให้บุคคลอื่นที่ไม่มีสิทธิใช้อุปกรณ์ดังกล่าว
2.11 พนักงานทราบดีว่าบริษัทมีการกำหนดสิทธิของพนักงานในการเข้าถึงข้อมูลส่วนบุคคลพนักงานต้องเคารพสิทธิปกครองบุคคลอื่น และไม่เข้าถึงข้อมูลส่วนบุคคลที่ตนไม่มีสิทธิ์ หากพนักงานต้องการเข้าถึงข้อมูลส่วนบุคคลที่ตนไม่มีสิทธิ์พนักงานต้องดำเนินการขอสิทธิเพื่อเข้าถึงข้อมูลนอกเหนือจากที่กำหนดไว้ตามวิธีการที่บริษัทกำหนด
2.12 ห้ามมิให้พนักงานเปิดเผยบัญชีผู้ใช้ (Username) และรหัสผ่าน(Password) ที่บริษัทจัดให้สำหรับเข้าระบบฐานข้อมูลต่างๆแก่บุคคลอื่นได้ด้วยวิธีการใดๆเด็ดขาด
2.13 ห้ามมิให้พนักงาน คัดลอก ลอกเลียน ดัดแปลง ปลอมแปลง ขาย จำหน่าย จ่าย โอน ให้เช่า เรียกดึงข้อมูล บันทึก ส่งผ่าน หรือกระทำการใดๆ ต่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลโดยไม่เป็นไปตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทโดยเด็ดขาด
2.14 พนักงานต้องใช้ความระมัดระวังในการดูแลข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้ปลอดภัยจากการสูญหายเปลี่ยนแปลงแก้ไข รั่วไหล ถูกโจรกรรม ถูกเปิดเผยโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงต้องทบทวนวิธีการดูแลรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามบริบทหรือเทคโนโลยีที่เปลี่ยนแปลงไปอยู่เสมอ ทั้งนี้ในการเก็บรักษาข้อมูลส่วนบุคคลไม่ว่าจะเป็นรูปแบบของ Hard Copy หรือ Soft file พนักงานจะต้องปฏิบัติตามวิธีการจัดเก็บเอกสารเพื่อความปลอดภัยตามที่บริษัทกำหนด
2.15 พนักงานต้องทำการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลในส่วนที่ตนรับผิดชอบเมื่อพ้นกำหนดระยะเวลาเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลร้องขอหรือได้ถอนความยินยอมทั้งนี้ตามนโยบายการเก็บรักษาข้อมูลส่วนบุคคล และนโยบายการทำลายข้อมูลส่วนบุคคล
2.16 พนักงานต้องปฏิบัติตามนโยบายที่เกี่ยวข้องอย่างเคร่งครัดเพื่อให้บริษัทสามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึงเปลี่ยนแปลง ลบ หรือ ถ่ายโอนข้อมูลส่วนบุคคล
2.17 ในกรณีที่บริษัทเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งของบุคคลอื่น พนักงานจะต้องปฏิบัติตามคำสั่งเป็นลายลักษณ์อักษรของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้นเว้นแต่คำสั่งนั้นจะขัดหรือแย้งกับกฎหมายและจะไม่ดำเนินการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกจากวัตถุประสงค์ซึ่งข้อมูลส่วนบุคคลนั้นได้ถูกเปิดเผยให้แก่บริษัทในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล และพนักงานมีหน้าที่ในการรักษาความลับและหน้าที่อื่นๆ ตามที่กำหนดไว้ในสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและบริษัท รวมถึงหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด
2.18 หากพนักงานคนใดทราบถึงการละเมิดข้อมูลส่วนบุคคลของบริษัทพนักงานผู้นั้นจะต้องรายงานเหตุการณ์ที่เกิดขึ้นแก่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือสายงานที่เกี่ยวข้องทันทีทั้งนี้รายงานดังกล่าวจะถูกเก็บเป็นความลับ
3. การลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด(Personal Data Disposal Policy)
บริษัทฯตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลจึงกำหนดให้มีการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดของข้อมูลส่วนบุคคลอย่างเหมาะสมและสอดคล้องกับการรักษาความลับของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหายการเข้าถึงทำลายใช้แปลงแก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมายรวมถึงการควบคุมให้ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการตามที่กำหนดนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของบริษัท
3.1 วิธีการจัดทำข้อมูลนิรนาม
1) การปิดทับข้อมูล(Masking) ดำเนินการเปลี่ยน ส่วนใดส่วนหนึ่งของข้อมูลโดยการใช้กลุ่มของตัวอักษรที่ได้จากการสุ่มหรือข้อมูลอื่นๆเช่น Hashing เพื่อเปลี่ยนข้อมูลและไม่สามารถที่จะให้ข้อมูลย้อนกลับมาระบุตัวตนของเจ้าของข้อมูลได้
2) การลดความชัดเจนของข้อมูล (Blurring or Noising) มีการใช้ข้อมูลโดยประมาณแทนที่ข้อมูลเดิม เพื่อลดความเฉพาะเจาะจงของข้อมูลลงหรือการใช้ Differential Privacy
3.2 กระบวนการลบข้อมูลส่วนบุคคล
พนักงานต้องทำการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลในส่วนที่ตนรับผิดชอบเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา โดยการใช้เครื่องย่อยเอกสารหรือดำเนินการลบข้อมูลแบบที่ไม่สามารถกู้คืนข้อมูลได้ในกรณีที่เป็นเอกสารอิเล็กทรอนิกส์
4.บทกำหนดโทษ
กรณีพนักงานละเลยละเว้นไม่สั่งการไม่ดำเนินการหรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตนอันเป็นการฝ่าฝืนนโยบายฉบับนี้จนเป็นเหตุให้เกิดความเสียหายหรือผิดต่อกฎหมายต้องได้รับโทษทางวินัยตามระเบียบของบริษัทและโทษตามกฎหมายสำหรับความผิดที่เกิดขึ้นทั้งนี้หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัทและ/หรือ บุคคลอื่นในบริษัทอาจพิจารณาดำเนินคดีตามกฎหมายต่อไป
ทั้งนี้ให้มีผลตั้งแต่วันที่ 1 กรกฎาคม 2565 เป็นต้นไป
นาย ภูมิ อยู่ภักดี
ประธานเจ้าหน้าที่บริหาร
บริษัท ภูริ เอสเตท จำกัด
ดาวน์โหลด นโยบายคุ้มครองข้อมูลส่วนบุคคล