นโยบายคุ้มครองข้อมูลส่วนบุคคล

(Data Protection Policy)

1.     วัตถุประสงค์และขอบเขต

นโยบายฉบับนี้จัดทำขึ้นเพื่อกำหนดมาตรฐานและแนวทางการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล และเพื่อเป็นแนวทางให้บุคลากรของบริษัท ดิ แอ๊ดเลอร์ จำกัด (บริษัทฯ) ตระหนักถึงสิทธิและวิธีปฏิบัติที่เกี่ยวกับข้อมูลส่วนบุคคล และเพื่อควบคุมและกำกับดูแลการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทุกรูปแบบ ทั้งในรูปแบบข้อมูลอิเล็กทรอนิกส์และไม่ใช่ข้อมูลอิเล็กทรอนิกส์

2.     คำศัพท์และคำนิยาม

  • กฎหมายคุ้มครองข้อมูลส่วนบุคคล หมายถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และที่จะมีการแก้ไขเพิ่มเติม รวมถึงกฎ ระเบียบ ประกาศ และคำสั่งที่เกี่ยวข้อง
  • การเข้าถึงข้อมูล หมายถึง สิทธิในการอ่าน ดู บันทึก คัดลอก เก็บสำรอง จัดเก็บ สืบค้น ดาวน์โหลด หรือแก้ไขข้อมูล รวมถึงการจัดการสิทธิการเข้าถึงนั้น ๆ
  • การประมวลผลข้อมูลส่วนบุคคล หมายถึง การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อม ใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย
  • ข้อมูล หมายถึง ข้อมูลในรูปแบบใดก็ตามทั้งในแบบอิเล็กทรอนิกส์และไม่ใช่อิเล็กทรอนิกส์ เช่น ข้อมูลในสิ่งพิมพ์ซึ่งอยู่ในระบบภายในหรือระบบภายนอกที่นอกเหนือการควบคุมของบริษัทฯ และปรากฏเงื่อนไขดังต่อไปนี้
  1. ข้อมูลที่พนักงานของบริษัทฯ หรือบุคคลที่ได้รับมอบหมายได้มาประมวลผล จัดการ และ/หรือ ดูแล (เช่น ผู้รับเหมา หน่วยงานภายนอก ที่ปรึกษา) เพื่อปฏิบัติหน้าที่
  2. ข้อมูลที่เกี่ยวเนื่องกับการจัดการ การปฏิบัติงาน วางแผน รายงาน หรือการตรวจสอบการดำเนินงานของบริษัทฯ
  3. ข้อมูลที่ใช้อ้างอิงหรือจำเป็นต่อการทำงานของหน่วยงานอย่างน้อยหนึ่งหน่วย
    • ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
    • ข้อมูลอ่อนไหว หมายถึง ข้อมูลส่วนบุคคลซึ่งมีความเกี่ยวข้องกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
    • บุคคลภายนอก หมายถึง บุคคลธรรมดา นิติบุคคล หน่วยงานต่าง ๆ ที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคล ไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคล และไม่ใช่ผู้ได้รับอำนาจจากบริษัทฯ หรือได้รับอำนาจจากผู้ประมวลผลข้อมูลส่วนบุคคลให้ทำการประมวลผลข้อมูลส่วนบุคคลโดยตรง
    • ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
    • ผู้ประมวลผลข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
    • ฝ่ายเจ้าของข้อมูล หมายถึง ฝ่ายงานภายที่มีหน้าที่และความรับผิดชอบในการจัดระดับชั้นความลับของข้อมูล ควบคุมการเข้าถึงข้อมูล ดูแลรักษาไว้ซึ่งความลับ (Confidentiality) ความถูกต้อง (Integrity) และความพร้อมใช้ (Availability) ของข้อมูล

3.     การคุ้มครองข้อมูลส่วนบุคคล

เมื่อมีการประมวลผลข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ให้บุคลากรคำนึงถึงหลักการดังต่อไปนี้

  1. การประมวลผลข้อมูลส่วนบุคคลต้องเป็นไปอย่างโปร่งใส ถูกต้องตามกฎหมายตามวัตถุประสงค์หรือตามฐานในการประมวลผลข้อมูลส่วนบุคคลที่กำหนดไว้ และมีการกำหนดขั้นตอน ระยะเวลาในการตรวจสอบ พิจารณา ปรับปรุงนโยบาย เอกสาร หรือการดำเนินการต่าง ๆ ที่เกี่ยวข้อง
  2. ควรมีการประกาศ และสื่อสารนโยบายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลไปยังเจ้าของข้อมูลส่วนบุคคล ได้แก่ พนักงาน ลูกค้า หรือบุคคลหรือหน่วยงานทั้งภายในและภายนอกที่เกี่ยวข้อง
  3. ควรมีการกำหนดระยะเวลาการจัดเก็บข้อมูลส่วนบุคคลแต่ละกิจกรรม ข้อมูลส่วนบุคคลที่มีการจัดเก็บเกินระยะเวลาที่กำหนดหรือเกินวัตถุประสงค์ในการใช้งาน ให้ทำการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
  4. การประมวลผลข้อมูลส่วนบุคคลให้คำนึงถึงการรักษาความปลอดภัยของข้อมูลส่วนบุคคลในแต่ละกิจกรรมการประมวลผล ซึ่งรวมถึงการป้องกันการประมวลผลข้อมูลส่วนบุคคลโดยผู้ที่ไม่มีสิทธิ การลบหรือทำลายข้อมูลทั้งโดยความตั้งใจและไม่ตั้งใจ

4.     การจัดเก็บข้อมูลส่วนบุคคล

การจัดเก็บข้อมูลส่วนบุคคลทั้งในรูปแบบเอกสารและอิเล็กทรอนิกส์ควรเป็นไปตามมาตรการและมีระยะเวลาการเก็บรวบรวมข้อมูลส่วนบุคคลที่สอดคล้องกับวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคลและเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยมีรายละเอียดดังนี้

  • สถานที่จัดเก็บข้อมูลส่วนบุคคล และการรักษาความปลอดภัย

การจัดเก็บข้อมูลส่วนบุคคลอาจปรากฏทั้งในรูปแบบกระดาษและแบบอิเล็กทรอนิกส์ เพื่อให้มั่นใจได้ว่าข้อมูลส่วนบุคคลจะมีการจัดเก็บอย่างปลอดภัย ไม่สูญหาย จนกว่าจะถูกลบ หรือทำลาย ให้พิจารณารายละเอียดดังต่อไปนี้

  • เอกสารในรูปแบบอิเล็กทรอนิกส์ จดหมายอิเล็กทรอนิกส์ (อีเมล) และ บันทึกมัลติมีเดีย (Multimedia) ควรจัดเก็บภายในสถานที่ที่เหมาะสมและมีมาตรการรักษาความปลอดภัยตามมาตรฐานที่กำหนดโดยกฎหมายคุ้มครองข้อมูลส่วนบุคคล และมีการนำเทคโนโลยีทางด้านความปลอดภัยของการเก็บข้อมูลมาใช้ (Data security) เช่น การเข้าด้วยรหัส การใช้โปรแกรม antivirus ที่มีการอัพเดท เป็นต้น
  • เอกสารในรูปแบบกระดาษ กรณีเป็นเอกสารที่ใช้ในการดำเนินธุรกิจในแต่ละวัน ควรมีการเก็บไว้ในตู้เก็บเอกสาร หรือลิ้นชักโต๊ะ หรือพื้นที่จัดเก็บเอกสารที่มีการล็อกกุญแจทำงานเมื่อไม่ได้ใช้งาน และมีการล็อคกุญแจตู้เก็บเอกสารและลิ้นชักที่จัดเก็บเอกสารที่มีข้อมูลส่วนบุคคลเมื่อสิ้นวันทำการ
  • การรักษาความปลอดภัยในการจัดเก็บข้อมูลส่วนบุคคลหรือเอกสาร จะต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่ต้องครอบคลุมการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าข้อมูลส่วนบุคคลดังกล่าวจะอยู่ในรูปแบบเอกสารหรือในรูปแบบอิเล็กทรอนิกส์ หรือรูปแบบอื่นใดก็ตาม
  • สำหรับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์ มาตรการรักษาความมั่นคงปลอดภัยจะต้องครอบคลุมส่วนประกอบต่าง ๆ ของระบบสารสนเทศที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เช่น ระบบและอุปกรณ์จัดเก็บข้อมูลส่วนบุคคล เครื่องคอมพิวเตอร์แม่ข่าย (Servers) เครื่องคอมพิวเตอร์ลูกข่าย (Clients) และอุปกรณ์ต่าง ๆ ที่ใช้ ระบบเครือข่าย ซอฟต์แวร์และแอปพลิเคชัน อย่างเหมาะสม โดยคำนึงถึงหลักการป้องกันเชิงลึก (Defense in depth) ที่ควรประกอบด้วยมาตรการป้องกันหลายชั้น (Multiple layers of security controls) เพื่อลดความเสี่ยงในกรณีที่มาตรการบางมาตรการมีข้อจำกัดในการป้องกันความมั่นคงปลอดภัยในบางสถานการณ์
  • ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล

ทุกหน่วยงานควรมีการกำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลไว้ในบันทึกการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities) หรืออาจจัดทำเป็นเอกสารแยกเพื่อกำหนดระยะเวลาดังกล่าวได้ โดยระยะเวลาการจัดเก็บรวบรวมข้อมูลส่วนบุคคลให้พิจารณาจัดเก็บเท่าที่จำเป็นตามวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลนั้น ๆ ซึ่งอาจอ้างอิงระยะเวลาตามกฎหมาย คำสั่ง ประกาศ แนวปฏิบัติของธุรกิจ หรือมาตรฐานของการประมวลผลทั่วไปในเรื่องหนึ่ง ๆ ได้

5.     การแยกประเภทของข้อมูล

  • แนวทางการจัดระดับความลับของข้อมูล

เมื่อมีการเก็บรวบรวมข้อมูล ซึ่งไม่จำกัดเฉพาะข้อมูลส่วนบุคคล ควรพิจารณากำหนดระดับความลับของข้อมูลตามแนวทาง ดังนี้

  • พิจารณากำหนดชั้นความลับของข้อมูล โดยบริษัทฯ จะพิจารณากำหนดไว้ 4 ระดับ ได้แก่ ข้อมูลทั่วไป (Public Data) ข้อมูลใช้ภายใน (Internal Use Data) ข้อมูลความลับ (Confidential Data) และข้อมูลความลับที่สุด (Secret Data) โดยมีการกำหนดนิยาม รวมทั้งแนวทางในการควบคุมและป้องข้อมูลตามระดับชั้นความลับของข้อมูล ผู้ที่เกี่ยวข้องจะต้องปฏิบัติตามโดยเคร่งครัด หากกลุ่มของข้อมูลประกอบไปด้วยข้อมูลหลายระดับชั้นความลับ ให้หน่วยงานเจ้าของข้อมูลกำหนดระดับชั้นความลับของข้อมูลนั้นตามระดับชั้นความลับของข้อมูลระดับสูงสุดของกลุ่มข้อมูล
  • หน่วยงานเจ้าของข้อมูลมีหน้าที่กำหนดและทบทวนระดับชั้นความลับของข้อมูลส่วนบุคคล ที่อยู่ภายใต้ความรับผิดชอบของตนอย่างสม่ำเสมอ เพื่อให้สอดคล้องกับระดับความสำคัญของข้อมูลที่อาจมีการเปลี่ยนแปลงตามระยะเวลา รวมทั้งจัดให้มีการควบคุมที่เหมาะสมกับระดับชั้นความลับของข้อมูล โดยหน่วยงานเจ้าของข้อมูลอาจมอบหมายกิจกรรมการควบคุมข้างต้นให้กับผู้ที่เกี่ยวข้อง และอาจขอการสนับสนุนและความช่วยเหลือทางด้านเทคนิคจากหน่วยงานเทคโนโลยีข้อมูล อย่างไรก็ดีหน่วยงานเจ้าของข้อมูลยังเป็นผู้รับผิดชอบที่แท้จริงในการจัดระดับชั้นความลับและการควบคุมความมั่นคงปลอดภัยของข้อมูลที่ตนเป็นผู้รับผิดชอบ
  • หน่วยงานเจ้าของข้อมูลควรเก็บข้อมูลส่วนบุคคลเป็นความลับและเปิดเผยต่อบุคคลที่ได้รับอนุญาตตามข้อกำหนดทางกฎหมายและกฎเกณฑ์ที่บังคับใช้เท่านั้น
  • หน่วยงานเจ้าของข้อมูลและหน่วยงานอื่นที่เกี่ยวข้อง ต้องร่วมดำเนินการให้มีมาตรการควบคุมการเข้าถึงข้อมูลอย่างเหมาะสม เพื่อให้มั่นใจว่าบุคคลที่เกี่ยวข้องมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลเท่าที่จำเป็น และได้รับอนุญาตให้เข้าถึงข้อมูลในระยะเวลาที่เหมาะสมเท่านั้น
  • การขอสิทธิเพื่อเข้าถึงข้อมูลส่วนบุคคลนอกเหนือจากสิทธิที่กำหนดไว้จะต้องผ่านการพิจารณาจากหน่วยงานเจ้าของข้อมูล ทั้งนี้ การจัดการสิทธิในการเข้าถึงการใช้และการให้ข้อมูลเป็นไปตามที่บริษัทฯ กำหนด
  • การดำเนินการทางเทคนิคในการให้สิทธิเข้าถึงข้อมูลต้องเป็นไปตามมาตรการการรักษาความมั่นคงปลอดภัยข้อมูลที่บริษัทฯ กำหนด
  • การจัดระดับชั้นความลับของข้อมูลสามารถกำหนดระดับและนิยามได้ดังนี้

ระดับความลับ คำนิยาม
ความลับที่สุด

(Secret)

 เป็นข้อมูลที่มีการประเมินแล้วว่า หากมีการเปิดเผยโดยไม่ได้รับอนุญาตจะสามารถสร้างความเสียหายทั้งในด้านการเงินและด้านอื่น ๆ ต่อบริษัทฯ อย่างร้ายแรง ข้อมูลที่จัดอยู่ในกลุ่มนี้จะต้องได้รับการดูแลเป็นพิเศษ ทั้งจากหน่วยงานเจ้าของข้อมูล และผู้ที่จำเป็นต้องใช้ข้อมูลตามหน้าที่ของงานที่รับผิดชอบ ทุกคนที่สามารถเข้าถึงข้อมูลเหล่านี้จำเป็นต้องลงนามข้อตกลงไม่เปิดเผยข้อมูล (NDA) ซึ่งต้องได้รับการอนุมัติจากผู้บริหารระดับสูง หรือผู้ได้รับมอบหมายทั้งสองฝ่าย
ความลับ(Confidential) ข้อมูลซึ่งหากเปิดเผยโดยไม่ได้รับอนุญาต จะเป็นการฝ่าฝืนกฎ ข้อบังคับของบริษัทฯ ก่อให้เกิดผลกระทบด้านชื่อเสียง การเงิน เสียเปรียบในการแข่งขันทางการค้าต่อบริษัทฯ ผู้ที่สามารถเข้าถึงข้อมูลประเภทนี้ได้จึงถูกจำกัดเพียงพนักงานเป็นรายบุคคล กลุ่มพนักงานหรือบุคคลที่สาม ที่มีความสัมพันธ์กันตามสัญญา โดยกลุ่มคนที่ระบุจำเป็นต้องลงนามข้อตกลงไม่เปิดเผยข้อมูล (NDA) ในนามรายบุคคลหรือบริษัทต้นสังกัด ซึ่งต้องได้รับการอนุมัติจากผู้บริหารระดับสูง หรือผู้ได้รับมอบหมายทั้งสองฝ่าย
ใช้ภายใน

(Internal Use)

 ข้อมูลที่เปิดเผยได้เฉพาะภายในบริษัทฯ และบุคคลภายนอกที่มีความสัมพันธ์ทางการค้าซึ่งได้รับสิทธิเท่านั้น ไม่เหมาะที่จะเปิดเผยต่อสาธารณชนเป็นการทั่วไป
ทั่วไป

(Public)

 ข้อมูลที่ไม่ได้กระทบอย่างมีนัยสำคัญต่อการดำเนินงาน และผู้บริหารอนุมัติให้เปิดเผยต่อสาธารณะได้ อย่างไรก็ดีข้อมูลในระดับชั้นนี้ต้องได้รับการป้องกัน หรือควบคุมอย่างเหมาะสม เพื่อให้มั่นใจได้ว่าข้อมูลที่ถูกเปิดเผยมีความถูกต้องครบถ้วน (Integrity) เพื่อสร้างความเชื่อมั่นให้กับลูกค้ารวมทั้งรักษาภาพลักษณ์และชื่อเสียงของบริษัทฯ

ในกรณีที่หน่วยงานไม่สามารถกำหนดระดับความลับของข้อมูลส่วนบุคคลบางประเภทตามคำนิยามหรือตัวอย่างที่ได้กล่าวไว้ข้างต้น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ หรือผู้มีอำนาจสูงสุดในบริษัทฯ ควรเป็นผู้ตัดสินใจในการกำหนดระดับความลับของข้อมูลดังกล่าว นอกจากนี้ควรมีการพิจารณาการจัดระดับความลับของข้อมูลให้สอดคล้องกับกิจกรรมปัจจุบันของบริษัทฯ หรือตามข้อกฎหมาย

  • แนวทางในการควบคุมและป้องกันข้อมูล

การควบคุมและป้องกันข้อมูลควรครอบคลุมในด้านการจัดทำ การจัดเก็บ การจัดพิมพ์และการทำสำเนา การจัดส่ง การทำลายและการนำกลับมาใช้ใหม่ของข้อมูลทั้งในรูปแบบของเอกสารและอิเล็กทรอนิกส์ โดยแต่ละหน่วยงานควรพิจารณารายละเอียดการควบคุมที่จำเป็น ดังต่อไปนี้

ประเภทข้อมูล ทั่วไป

(Public)

 ใช้ภายใน

(Internal Use)

 ความลับ

(Confidential)

 ความลับที่สุด

(Secret)
การจัดทำข้อมูล
การทำเครื่องหมายหรือสัญลักษณ์แสดงชั้นความลับเอกสารฉบับพิมพ์ (Hard Copy) และ ไฟล์อิเล็กทรอนิกส์ ไม่มีข้อบังคับพิเศษ ควรระบุคำว่า “ข้อมูลใช้ภายใน” หรือ “INTERNAL USE” ในเอกสารหรือ ในไฟล์ ข้อมูลให้ชัดเจน ระบุคำว่า “ลับ” หรือ “CONFIDENTIAL” ในเอกสารหรือไฟล์ข้อมูลให้ชัดเจน กรณีทำได้ควรระบุทุกหน้า ระบุคำว่า “ลับที่สุด” หรือ “SECRET” ในเอกสารหรือไฟล์ข้อมูลให้ชัดเจน กรณีทำได้ควรระบุทุกหน้าและควรระบุชื่อหน่วยงานเจ้าของเรื่อง เลขที่เอกสาร จำนวนชุด และเลขที่หน้ากับจำนวนหน้าทั้งหมด
กรณีใช้สื่อสารกับบุคคลภายนอกให้ระบุคำว่า “ข้อมูลใช้ภายในบริษัทฯหรือข้อความอื่น ๆ ที่บ่งบอกถึงผู้ที่เกี่ยวข้องเท่านั้น กรณีใช้สื่อสารกับบุคคลภายนอกให้ระบุคำว่า “ลับ” หรือ หรือข้อความอื่น ๆ ที่บ่งบอกถึงผู้ที่เกี่ยวข้องเท่านั้น กรณีใช้สื่อสารกับบุคคลภายนอกให้ระบุคำว่า “ลับที่สุด” หรือ ข้อความอื่น ๆ ที่บ่งบอกถึงผู้ที่เกี่ยวข้องเท่านั้น
การสั่งพิมพ์เอกสาร ไม่มีข้อบังคับพิเศษ เมื่อพิมพ์เอกสารเสร็จจะต้องเก็บทันทีโดยไม่ปล่อยเอกสารทิ้งไว้ที่เครื่องพิมพ์ 1)     ตรวจสอบเครื่องพิมพ์ปลายทางให้แน่ใจว่าถูกต้องทุกครั้งก่อนสั่งพิมพ์

2)     เมื่อพิมพ์เอกสารเสร็จจะต้องเก็บทันทีโดยไม่ปล่อยเอกสารทิ้งไว้ที่เครื่องพิมพ์

3)     หากมีการพิมพ์ไปที่เครื่องพิมพ์ซึ่งเชื่อมต่อกับระบบเครือข่ายที่มีการใช้งานโดยผู้ใช้หลายคน ผู้สั่งพิมพ์ต้องเป็นผู้ไปรับเอกสารด้วยตนเอง โดยรอเอกสารตั้งแต่เริ่มพิมพ์จนกระทั่งเอกสารพิมพ์เสร็จ

4)     ห้ามพิมพ์เอกสารภายนอกบริษัทฯ เช่น โรงแรม ศูนย์ประชุม สนามบิน เป็นต้น
การจัดเก็บข้อมูล
เอกสารฉบับพิมพ์ (Hard Copy)

 

 ไม่มีข้อบังคับพิเศษ เก็บไว้ในที่เหมาะสมกับการปฏิบัติงานและมีการจัดเก็บอย่างเป็นระบบ เก็บไว้ในที่มิดชิดและสามารถป้องกันการเข้าถึงจากบุคคลที่ไม่ได้รับอนุญาต เช่น การเก็บในตู้ใส่กุญแจเมื่อไม่ได้ใช้งาน หรือการเก็บในตู้นิรภัย เป็นต้น
การจัดเก็บข้อมูลในเครื่องคอมพิวเตอร์ หรือ Server

(ข้อมูลอิเล็กทรอนิกส์)

 ไม่มีข้อบังคับพิเศษ ไม่จำเป็นต้องเข้ารหัส (Unencrypted) แต่ต้องจัดเก็บภายในโฟลเดอร์ที่มีการกำหนดสิทธิในการเข้าถึง จัดเก็บในแฟ้มข้อมูลที่มีการเข้ารหัส (Encrypted) หรือจัดเก็บภายในโฟลเดอร์ที่มีการกำหนดสิทธิในการเข้าถึง
การจัดเก็บข้อมูลในระบบ Cloud

(ข้อมูลอิเล็กทรอนิกส์)

 ไม่มีข้อบังคับพิเศษ มีมาตรการในการควบคุม และมีการกำหนดสิทธิในการเข้าถึง จัดเก็บในแฟ้มข้อมูลที่มีการเข้ารหัส (Encrypted) หรือต้องจัดเก็บภายในโฟลเดอร์ที่มีมาตรการในการควบคุม และกำหนดสิทธิในการเข้าถึง
การจัดเก็บข้อมูลในโทรศัพท์เคลื่อนที่

(ข้อมูลอิเล็กทรอนิกส์)

 ไม่มีข้อบังคับพิเศษ มีการตั้งค่าความปลอดภัยเพื่อเข้าใช้งาน เช่น password เพื่อป้องกันการเข้าถึงข้อมูล กรณีโทรศัพท์สูญหายหรือถูกขโมย เป็นต้น
การจัดเก็บข้อมูลในอุปกรณ์บันทึกข้อมูลต่างๆ เช่น Flash drive, Memory Card, CD, DVD, External Hard disk

(ข้อมูลอิเล็กทรอนิกส์)

 ไม่มีข้อบังคับพิเศษ ไม่มีข้อบังคับพิเศษ มีการเข้ารหัส (Encrypted) แฟ้มข้อมูล เช่น

·   Zip file ด้วย AES-256

·   BitLocker

เป็นต้น
เมื่อนำข้อมูลไปด้วยระหว่างการเดินทาง

เอกสารฉบับพิมพ์ (Hard Copy)

 ไม่มีข้อบังคับพิเศษ ข้อมูลจะต้องถูกเก็บไว้ในที่ที่บุคคลที่อื่นไม่สามารถนำมาใช้ได้ เช่น ใส่ซองปิดผนึกเก็บไว้ในห้องโรงแรมที่มีการใส่กุญแจ หรือเก็บในตู้นิรภัย หรือเก็บไว้ในรถที่มีการล็อคและไว้ในจุดที่ไม่สามารถมองเห็นได้จากภายนอก
การส่ง/รับ และการโอนข้อมูล
การจัดส่งผ่านทางไปรษณีย์

เอกสารฉบับพิมพ์
(Hard copy) หรือ

อุปกรณ์บันทึกข้อมูล

 ไม่มีข้อบังคับพิเศษ ใส่เอกสารในซองทึบ ปิดผนึก ใส่เอกสารในซองทึบ ปิดผนึก และประทับตราที่ระบุคำว่า “ลับ” หรือ “CONFIDENTIAL” ไม่ควรส่งผ่านไปรษณีย์ หากจำเป็นจะต้องได้รับอนุญาตจากบริษัทฯ ก่อน โดยวิธีการปฏิบัติ ให้ปฏิบัติเช่นเดียวกับข้อมูลความลับ
การส่งเอกสารฉบับพิมพ์ by hand (Hard Copy) หรือ อุปกรณ์บันทึกข้อมูล ไม่มีข้อบังคับพิเศษ ไม่มีข้อบังคับพิเศษ 1)        ใส่เอกสารในซองทึบ ปิดผนึก และประทับตราที่ระบุคำว่า “ลับ” หรือ “CONFIDENTIAL”

2)        จัดทำบันทึกการส่งและการรับไว้เป็นหลักฐาน

 1)     ปิดผนึกซองเอกสารก่อนจัดส่ง ใส่เอกสารในซอง 2 ชั้น

2)     ซองชั้นในให้ระบุคำว่า “ลับที่สุด” หรือ “SECRET” และซองชั้นนอกไม่ต้องระบุระดับความลับเอกสาร

3)     มีการบันทึกการส่งและรับเอกสาร

4)     จัดส่งให้บุคคลที่ได้รับมอบหมายเท่านั้น
การแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์ (Email, SharePoint, ผ่านโปรแกรมคอมพิวเตอร์ต่างๆ) ไม่มีข้อบังคับพิเศษ ไม่มีข้อบังคับพิเศษ ต้องมีความปลอดภัย เช่น มีการเข้ารหัส หรือ ใส่รหัสผ่านโดยไม่ส่งรหัสผ่านไปพร้อมกับข้อมูล หรือส่งรหัสผ่านคนละช่องทางกับการส่งข้อมูลครั้งนั้น ไม่ควรมีการแลกเปลี่ยนข้อมูลทาง Electronic หากจำเป็นต้องได้รับอนุญาตจากเจ้าของข้อมูลก่อน โดยปฏิบัติเช่นเดียวกับข้อมูลความลับ

 

 
การจัดการกรณีข้อมูลสูญหาย
ข้อมูลอิเล็กทรอนิกส์ ไม่มีข้อบังคับพิเศษ กรณีข้อมูลสูญหายหรือถูกขโมยให้รายงานต่อหัวหน้าแผนกที่รับผิดชอบทันทีที่ทราบเหตุ เพื่อดำเนินการไม่ให้เกิดความเสียหาย หรือเกิดความเสียหายน้อยที่สุด เช่น เปลี่ยนรหัสผ่าน หรือล็อคการเข้าสู่บัญชีผู้ใช้ ในกรณีเครื่องคอมพิวเตอร์ถูกขโมย หรือการลบข้อมูลในโทรศัพท์เคลื่อนที่กรณีโทรศัพท์เคลื่อนที่สูญหาย
เอกสารฉบับพิมพ์

(Hard copy)

 ไม่มีข้อบังคับพิเศษ กรณีข้อมูลสูญหายหรือถูกขโมยให้รายงานหัวหน้าแผนกที่รับผิดชอบทันทีที่ทราบเหตุ
กรณีที่ข้อมูลที่ไม่ได้ระบุระดับความลับ
เอกสารฉบับพิมพ์
(hard copy) หรือ

ข้อมูลอิเล็กทรอนิกส์

 ไม่มีข้อบังคับพิเศษ ไม่มีข้อบังคับพิเศษ กรณีที่ข้อมูลลับหรือข้อมูลลับที่สุดไม่ได้มีการระบุระดับความลับไว้ที่เอกสาร หากพนักงานทราบว่าข้อมูลนั้นได้มีการกำหนดระดับความลับไว้แล้ว ให้พนักงานปฏิบัติกับข้อมูลนั้น ๆ เช่นเดียวกับข้อมูลที่มีการระบุระดับความลับไว้ และให้พนักงานจัดทำหรือแจ้งหน่วยงานที่รับผิดชอบให้ระบุแสดงระดับชั้นความลับบนเอกสารต่อไป

6.     การลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด

  • เงื่อนไขในการลบหรือทำลายข้อมูลส่วนบุคคล

เมื่อทุกหน่วยงานมีการกำหนดระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลไว้แล้ว หากเป็นไปตามกรณีดังต่อไปนี้ให้ทุกหน่วยงานคำนึงถึงการลบ หรือทำลายตามลักษณะของข้อมูลที่เก็บไว้โดยผู้ที่มีหน้าที่รับผิดชอบ หรือทำให้ข้อมูลไม่สามารถระบุตัวตนของบุคคลได้ เพื่อให้ข้อมูลนั้นไม่เป็นข้อมูลส่วนบุคคลต่อไป

  • ครบกำหนดระยะเวลาการจัดเก็บตามที่กำหนดไว้
  • ข้อมูลส่วนบุคคลนั้นไม่มีความเกี่ยวข้อง หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
  • ข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย
  • เจ้าของข้อมูลส่วนบุคคลถอนความยินยอม หรือร้องขอใช้สิทธิตามกฎหมายขอให้ลบ ทำลาย หรือขอทำให้ข้อมูลส่วนบุคคลของตนเองเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
  • แนวทางในการลบหรือทำลายข้อมูล หรือการจัดทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล

แต่ละหน่วยงานควรพิจารณาแนวทางการลบหรือทำลายข้อมูลภายในบริษัทฯ ให้เป็นไปตามความเหมาะสมและมีความปลอดภัยตามระดับความลับ ลักษณะ และประเภทของข้อมูล ดังนี้

 

ประเภทข้อมูล ทั่วไป

(Public)

 ใช้ภายใน

(Internal Use)

 ความลับ

(Confidential)

 ความลับที่สุด

(Secret)
เอกสารฉบับพิมพ์
(Hard Copy)		 ไม่มีข้อบังคับพิเศษ ฉีกทำลาย หรือใช้เครื่องย่อยเอกสาร หรือส่งให้หน่วยงานภายนอกดำเนินการทำลายเอกสารตามที่กำหนดไว้ ใช้เครื่องย่อย หรือส่งให้หน่วยงานภายนอกดำเนินการทำลายเอกสารตามที่กำหนดไว้ ส่งเอกสารคืนกลับให้หน่วยงานที่รับผิดชอบเพื่อทำลายโดยเครื่องย่อยเอกสารเท่านั้น และต้องแจ้งให้หัวหน้าของหน่วยงานที่รับผิดชอบทราบก่อน
การทำลายข้อมูลอิเล็กทรอนิกส์ ไม่มีข้อบังคับพิเศษ ต้องดำเนินการลบข้อมูลด้วยการลบข้อมูลและ Clear ข้อมูลใน Recycle Bin หรือใช้โปรแกรมในการลบข้อมูล เช่น Eraser ต้องดำเนินการลบข้อมูลด้วยการ Format แบบ Low Level หรือใช้โปรแกรมในการลบข้อมูลที่ไม่สามารถกู้คืนกลับมาได้ เช่น Eraser แบบ 3 Passes หรือ Dumping ข้อมูล

**กรณีที่มีการคืนอุปกรณ์ให้กับหน่วยงานภายนอกให้ใช้ซอฟต์แวร์ Low Level Format
การทำลายข้อมูลค่า Configuration ไม่มีข้อบังคับพิเศษ Reset ค่า Configuration และข้อมูลที่จัดเก็บบนอุปกรณ์เป็นค่า Factory Default
การทำลาย CD/DVD ไม่มีข้อบังคับพิเศษ ทุบทำลาย หรือใช้เครื่องทำลายแผ่นบันทึกข้อมูลแบบ Strip-cut
การทำลาย USB Flash Drive, Hard disk ไม่มีข้อบังคับพิเศษ ทุบทำลาย หรือ วิธีการที่บริษัทฯ พิจารณาแล้วว่าปลอดภัย

 

  • แนวทางการจัดทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล

ในกรณีที่การลบหรือทำลายข้อมูลส่วนบุคคลอาจส่งผลกระทบต่อการใช้งานข้อมูลส่วนบุคคลโดยรวม เช่น ส่งผลให้การประมวลผลของข้อมูลส่วนบุคคลไม่ถูกต้อง หรือมีข้อจำกัดบางอย่างของระบบทำให้ไม่สามารถลบข้อมูลส่วนบุคคลได้ บริษัทฯ จะกำหนดมาตรการเพื่อทำให้ข้อมูลส่วนบุคคลนั้น เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลเจ้าของข้อมูลส่วนบุคคลได้ ตามเกณฑ์ที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดดังต่อไปนี้

  • กระบวนการลบหรือทำให้ปราศจากข้อมูลใด ๆ ที่เป็นตัวระบุทางตรง (direct identifiers) ของเจ้าของข้อมูลส่วนบุคคล (de-identification) ซึ่งรวมถึงข้อมูลดังต่อไปนี้

(ก) ชื่อตัว ชื่อรอง หรือชื่อสกุลของบุคคล

(ข) เลขประจำตัวประชาชน เลขที่หนังสือเดินทาง เลขประจำตัวผู้เสียภาษีของบุคคล เลขที่บัตรประกันสังคม ตลอดจนเลขที่ หมายเลข หรือรหัสของบัตรประจำตัวอื่นใดของบุคคล

(ค) เลขที่ หมายเลข หรือรหัสมาชิก ลูกค้า ผู้รับบริการ หรือบุคลากร ตลอดจนเลขที่ หมายเลข หรือรหัสของบัญชี สัญญา หรือสิ่งอื่นใดที่เป็นของเฉพาะตัวของบุคคล

(ง) หมายเลขโทรศัพท์ หมายเลขโทรสาร หรือหมายเลขติดต่อเฉพาะตัวของบุคคล

(จ) ที่อยู่ไปรษณีย์อิเล็กทรอนิกส์ (e-mail address) เฉพาะตัวของบุคคล

(ฉ) หมายเลขทะเบียนรถของบุคคล

(ช) ภาพใบหน้าของบุคคลที่ทำให้สามารถระบุตัวบุคคลได้

(ช) ข้อมูลชีวภาพ (biometric data) ของบุคคลที่ทำให้สามารถระบุตัวบุคคลได้

(ฌ) ชื่อหรือรหัสบัญชีผู้ใช้งานในระบบข้อมูล แอปพลิเคชัน หรือบริการต่าง ๆ ที่เป็นของเฉพาะตัวของบุคคล

(ญ) ข้อมูลอื่นใดที่เป็นสิ่งเฉพาะตัวของบุคคลที่ทำให้สามารถระบุตัวบุคคลได้โดยตรง

  • หลังจากการดำเนินการตามข้อ 1) แล้ว บริษัทฯ จะดำเนินการเพิ่มเติม เพื่อให้แน่ใจว่าข้อมูลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ทางอ้อม โดยโอกาสในการระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้อยู่ในระดับที่ต่ำเพียงพอ เช่น การแฝงข้อมูล (pseudonymization) หรือดำเนินการอย่างหนึ่งอย่างใดต่อข้อมูลทั้งหมดหรือบางส่วน เพื่อลดโอกาสในการระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลจากข้อมูลที่เป็นตัวระบุทางอ้อม (indirect identifiers) เช่น วันเดือนปีเกิด ตำแหน่งงาน เลขที่อยู่ไอพี (IP Address)

ทั้งนี้ ในการดำเนินการตามข้อ 2) บริษัทฯ ต้องคำนึงถึงปัจจัยทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่เป็นที่ยอมรับสำหรับหน่วยงานหรือกิจการในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกัน ลักษณะหรือประเภทของข้อมูลส่วนบุคคล ลักษณะ ประเภท หรือสถานะของเจ้าของข้อมูลส่วนบุคคล ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดำเนินการ ตลอดจนความเสี่ยง แรงจูงใจ และความสามารถของบุคคลที่อาจประสงค์จะทำให้ข้อมูลนั้นย้อนกลับมาสามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (re-identification) ประกอบกัน

อย่างไรก็ตาม วิธีการอาจมีการเปลี่ยนแปลงเมื่อมีกฎเกณฑ์เกี่ยวกับการทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลส่วนบุคคลที่ไม่สามารถระบุตัวตนได้เพิ่มเติมตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในภายหลัง

  • การดำเนินการกรณีเจ้าของข้อมูลส่วนบุคคลร้องขอให้บริษัทฯ ลบ หรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล
    • เมื่อเจ้าของข้อมูลส่วนบุคคลยื่นคำร้องขอลบ หรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลต่อบริษัทฯ ให้แต่ละหน่วยงานดำเนินการตามกระบวนการจัดการคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลที่กำหนดไว้โดยไม่ชักช้า แต่ต้องไม่เกิน 90 วันนับแต่วันที่ได้รับคำขอ
    • อย่างไรก็ตาม ในบางกรณีสามารถปฏิเสธคำร้องขอของเจ้าของข้อมูลส่วนบุคคลที่ร้องขอใช้สิทธิดังกล่าวได้ เมื่อเป็นไปตามกรณีดังต่อไปนี้
  • เมื่อบริษัทฯ ยังคงมีความจำเป็นในการเก็บข้อมูลส่วนบุคคล
  • เมื่อบริษัทฯ มีความจำเป็นเพื่อปฏิบัติตามกฎหมาย
  • เมื่อบริษัทฯ มีความจำเป็นที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ
  • เมื่อบริษัทฯ มีความจำเป็นเพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัทฯ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัทฯ
  • เมื่อบริษัทฯ มีความจำเป็นต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปเพื่อการใช้แสดงออกหรือการใช้สิทธิเสรีภาพในข้อมูล
  • เมื่อบริษัทฯ มีความจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ

(ก)    เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้านสังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและข้อมูลส่วนบุคคลนั้นอยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูลส่วนบุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์

(ข)    ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจากโรคติดต่ออันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือการควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตามจริยธรรมแห่งวิชาชีพ

  • เมื่อบริษัทฯ มีความจำเป็นใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย
    • หากบริษัทฯ ไม่สามารถการดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ภายใน 90 วันนับแต่วันที่ได้รับคำขอ บริษัทฯ ต้องทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวเป็นไปได้ยาก จนกว่าจะเสร็จสิ้นการดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ โดยบริษัทฯ จะกำหนดมาตรการเชิงองค์กรและมาตรการเชิงเทคนิคที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพที่จำเป็น เพื่อให้เป็นไปตามเกณฑ์ที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
    • หากบริษัทปฏิเสธคำร้องขอใช้สิทธิ เนื่องจากเหตุผลความจำเป็นที่สำคัญ เช่น อาจส่งผลกระทบในทางลบต่อสิทธิในข้อมูลส่วนบุคคลของบุคคลอื่น บริษัทฯ ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลที่ร้องขอใช้สิทธิทราบ พร้อมชี้แจงถึงเหตุผลความจำเป็นที่สำคัญดังกล่าวด้วย
    • หากเจ้าของข้อมูลส่วนบุคคลยื่นคำร้องขอใช้สิทธิ เนื่องจากบริษัทฯ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ร้องขอใช้สิทธิโดยไม่ชอบด้วยกฎหมาย บริษัทฯ จะดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเท่านั้น โดยไม่สามารถดำเนินการทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลแทนได้
    • เมื่อบริษัทฯ ดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้แล้ว บริษัทฯ จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลที่ใช้สิทธิทราบ หากบริษัทฯ ไม่สามารถดำเนินการตามคำขอใช้สิทธิได้ บริษัทฯ จะแจ้งให้เจ้าของข้อมูลที่ใช้สิทธิทราบพร้อมเหตุผล

7.     การใช้บริการจากผู้ให้บริการภายนอก

เมื่อมีการว่าจ้างหรือใช้บริการจากผู้ให้บริการภายนอกซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคล หน่วยงานที่เกี่ยวข้องจะต้องมีการทำข้อตกลงหรือสัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กับผู้ประมวลผลข้อมูลส่วนบุคคลภายนอกนั้น เพื่อให้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นไปตามที่ตกลง โดยข้อตกลงหรือสัญญาในการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามรูปแบบที่บริษัทฯ กำหนดไว้

8.     นโยบายการส่งหรือเปิดเผยข้อมูลส่วนบุคคลให้แก่หน่วยงานภายนอก หรือการส่งข้อมูลส่วนบุคคลไปต่างประเทศ

  • การส่งหรือโอนข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก

กรณีที่หน่วยงานใดมีการเปิดเผยข้อมูลส่วนบุคคลให้แก่องค์กรหรือหน่วยงานภายนอกซึ่งมีที่ตั้งอยู่ในประเทศไทย ควรพิจารณาดังนี้

  • ควรมีการบันทึกกิจกรรมที่มีการการเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลภายนอกไว้ในบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ เอกสาร Data Inventory
  • กำหนดให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลร่วมกับหน่วยงานที่ต้องมีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก พิจารณาฐานทางกฎหมายในการดำเนินการ กรณีต้องขอความยินยอม ควรขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนส่งหรือโอนข้อมูลส่วนบุคคล
  • พิจารณาว่าในการส่งหรือโอนข้อมูลส่วนบุคคลนั้นมีมาตรการการรักษาความมั่นคงปลอดภัย และมีมาตรการในการคุ้มครองข้อมูลส่วนบุคคลที่มีมาตรฐาน
  • กรณีที่หน่วยงานรัฐ หรือผู้ถืออำนาจรัฐ ร้องขอเข้าถึงข้อมูลส่วนบุคคลโดยอ้างถึงกฎหมาย ระเบียบ หรือคำสั่งใด ๆ ที่บริษัทฯ จะต้องปฏิบัติตาม ควรให้หน่วยงานนั้นเข้าถึงข้อมูลส่วนบุคคลได้ในกรณีที่มีบทบัญญัติกฎหมาย หรือคำสั่ง หรือหนังสือแจ้งอย่างเป็นทางการ มิเช่นนั้นบริษัทฯ จะมีความผิดตามกฎหมายจากการให้หน่วยงานดังกล่าวเข้าถึงหรือเปิดเผยข้อมูลโดยไม่มีหน้าที่ตามกฎหมาย
  • การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์กรระหว่างประเทศจะสามารถดำเนินการได้เมื่อเป็นไปตามกรณีดังต่อไปนี้

  • กรณีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศที่ได้รับการรับรองมาตรฐานคุ้มครองข้อมูลส่วนบุคคล (Adequacy Decision)

กรณีที่บริษัทฯ ส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอและได้รับการรับรองจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล บริษัทฯ สามารถดำเนินการส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวได้โดยไม่ต้องจัดทำเอกสารข้อตกลงเกี่ยวกับการโอนข้อมูลไปต่างประเทศ ซึ่งการประกาศประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ให้เป็นไปตามที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

  • กรณีการส่งหรือโอนข้อมูลส่วนบุคคลตามข้อยกเว้นทางกฎหมาย ได้แก่
  • เมื่อเป็นการปฏิบัติตามกฎหมาย
  • เมื่อบริษัทฯ ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้ว
  • เมื่อบริษัทฯ มีความจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
  • เมื่อบริษัทฯ มีความจำเป็นต้องป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล หรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
  • เมื่อบริษัทฯ มีความจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
    • กรณีการส่งหรือโอนข้อมูลส่วนบุคคลภายในเครือกิจการ

กรณีที่บริษัทฯ มีบริษัทในเครือในต่างประเทศ การส่งหรือโอนข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกันนั้นอาจกระทำได้หากมีนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน หรือ Binding Corporate Rules (BCR) ซึ่งได้รับการตรวจสอบและรับรองโดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแล้ว

  • กรณีการส่งหรือโอนข้อมูลส่วนบุคคลโดยเป็นไปตามมาตรการคุ้มครองที่เหมาะสม (Appropriate Safeguards) ได้แก่ การจัดให้มีข้อสัญญามาตรฐานในการส่งหรือโอนข้อมูลส่วนบุคคล (Standard Contractual Clauses) ระหว่างผู้ส่งและผู้รับข้อมูลส่วนบุคคล เป็นต้น