นโยบายการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

นโยบายฉบับนี้ถูกจัดทำขึ้นเพื่อเป็นข้อกำหนดในการปฏิบัติงานสำหรับพนักงาน MARCO ในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศให้เป็นไปตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฏเกณฑ์ทางการอื่นๆ ที่เกี่ยวข้อง

“Marco”

หมายถึง

อ้างอิงตามคำจำกัดความใน “Personal Data Protection Policy”

“พนักงาน”

หมายถึง

อ้างอิงตามคำจำกัดความใน “Personal Data Protection Policy”

“ข้อมูลส่วนบุคคล”

หมายถึง

อ้างอิงตามคำจำกัดความใน “Personal Data Protection Policy”

“เจ้าของข้อมูลส่วนบุคคล”

หมายถึง

อ้างอิงตามคำจำกัดความใน “Personal Data Protection Policy”

“ผู้ควบคุมข้อมูลส่วนบุคคล”

หมายถึง

อ้างอิงตามคำจำกัดความใน “Personal Data Protection Policy”

“การประมวลผลข้อมูล”

หมายถึง

อ้างอิงตามคำจำกัดความใน “Personal Data Protection Policy”

“สำนักงาน”

หมายถึง

อ้างอิงตามคำจำกัดความใน “Personal Data Protection Policy”

“ผู้มีอำนาจอนุมัติ”

หมายถึง

ผู้ที่ได้รับมอบหมายจาก MARCO ให้มีอานาจในการอนุมัติใดๆภายใต้ขอบเขตอำนาจที่ได้รับจาก MARCO

“ประเทศที่มีมาตรฐานการ คุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ”

หมายถึง

ประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอตามที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

“การส่งหรือโอนข้อมูล (Transfer)”

หมายถึง

การส่งหรือโอนข้อมูลส่วนบุคคลจากประเทศไทยโดยมีการดำเนินการให้ข้อมูลส่วนบุคคลเข้าสู่ระบบเพื่อให้ปรากฎผลหรือเข้าถึงได้บนอุปกรณ์ที่อยู่นอกประเทศไทย รวมถึงการจัดเก็บฐานข้อมูลหรือประมวลผลข้อมูลในต่างประเทศ

“การส่งผ่านข้อมูล (Transit)”

หมายถึง

การส่งข้อมูลที่เป็นเพียงการเดินทางผ่านของข้อมูลในลักษณะที่ไม่สามารถเข้าถึงได้บนอุปกรณ์ที่อยู่นอกประเทศไทยและไม่ได้มีการจัดเก็บฐานข้อมูล หรือประมวลผลข้อมูลในประเทศที่ข้อมูลเดินทางผ่าน

  1. คณะ MARCO Management Committee มีหน้าที่กำกับดูแลให้มีการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎเกณฑ์ทางการ
  2. หน่วยงานเจ้าของเอกสาร มีหน้าที่ดำเนินการทบทวนนโยบายฉบับนี้ตามความเหมาะสมอย่างน้อยปีละ 1 ครั้ง หรือ เมื่อมีการเปลี่ยนแปลงที่สำคัญต่อการปฏิบัติงานตามนโยบาย
  3. ผู้บริหารระดับสูง มีหน้าที่ควบคุมดูแลการปฏิบัติงานในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ หรือ องค์กรระหว่างประเทศ เพื่อให้เป็นไปตามกฎหมายและกฏเกณฑ์ทางการอื่นๆที่เกี่ยวข้อง
  4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีหน้าที่กำกับดูแลการปฏิบัติงานต่างๆให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
  5. พนักงาน มีหน้าที่ปฏิบัติตามนโยบาย ระเบียบปฏิบัติ และคำสั่งของ MARCO รวมถึงกฎหมายและกฎเกณฑ์ทางการต่างๆ ที่เกี่ยวข้องโดยเคร่งครัด

4.1 ขอบเขตและข้อกำหนด

    1. นโยบายฉบับนี้กำหนดขึ้นเพื่อคุ้มครองสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล ในกรณีที่ MARCO มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ซึ่งสอดคล้องกับ นโยบายการคุ้มครองข้อมูลส่วนบุคคล
    2. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศตามนโยบายฉบับนี้ ครอบคลุมเฉพาะข้อมูลส่วนบุคคลของลูกค้าบุคคลธรรมดา พนักงาน และคู่ค้าเท่านั้น ไม่รวมข้อมูลของนิติบุคคลหรือข้อมูลอื่น
    3. นโยบายฉบับนี้ครอบคลุมการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศของ MARCO ไม่ว่าจะเป็นการส่งหรือโอนข้อมูลเพื่อประโยชน์ในการประมวลผลหรือการจัดเก็บฐานข้อมูลในต่างประเทศ เช่น
      • การส่งหรือโอนข้อมูลระหว่าง MARCO (ผู้ส่งหรือโอนข้อมูล) กับบริษัทในกลุ่มธุรกิจในต่างประเทศ หรือสาขา หรือสำนักงานผู้แทนในต่างประเทศของ MARCO (ผู้รับโอนข้อมูล)
      • การส่งหรือโอนข้อมูลระหว่าง MARCO (ผู้ส่งหรือโอนข้อมูล) กับพันธมิตรทางธุรกิจ (Business Partner)ในต่างประเทศ องค์กรระหว่างประเทศ รวมถึงผู้ให้บริการจัดเก็บหรือประมวลผลข้อมูลเพื่อสร้างมูลค่าเพิ่มให้กับธุรกิจในห่วงโซ่อุปทานในต่างประเทศ (ผู้รับโอนข้อมูล)

4. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ไม่รวมการส่งหรือโอนข้อมูลไปยังต่างประเทศที่มีกฎหมายอื่น หรือมาตรฐานเฉพาะรองรับ เช่น การโอนเงินระหว่างประเทศ เป็นต้น

    •  

4.2 หลักการ

    1. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศต้องระบุวัตถุประสงค์ที่ชัดเจน
    2. วัตถุประสงค์ของการส่งหรือโอนข้อมูลส่วนบุคคลต้องเป็นไปเพื่อนำข้อมูลมาใช้ในการดำเนินงานของ MARCO ในด้านต่างๆ ภายใต้ข้อกำหนดทางกฎหมายหรือกฎเกณฑ์ทางการเท่านั้น เช่น เพื่อวัตถุประสงค์ในเชิงพาณิชย์ เพื่อการบริหารงานทรัพยากรบุคคล เพื่อการศึกษาและวิจัย เป็นต้น
    3. “การส่งหรือโอนข้อมูล” (Transfer) ที่ต้องปฏิบัติตามหลักการคุ้มครองข้อมูลส่วนบุคคลนี้ ไม่รวมถึง“การส่งผ่านข้อมูล” (Transit) เนื่องจากการส่งผ่านข้อมูลเป็นการสื่อสารข้อมูลที่เพียงเดินทางผ่านเท่านั้น เว้นแต่มีการเข้าถึงหรือสามารถประมวลผลข้อมูล ณ ประเทศที่ข้อมูลเดินทางผ่านจึงจะเข้าข่ายเป็นการส่งหรือโอนข้อมูลที่ต้องปฏิบัติตามนโยบายฉบับนี้
    4. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศที่เข้าข่ายตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต้องผ่านการพิจารณาและอนุมัติตามกระบวนการที่ MARCO กำหนด
    5. ในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศ ผู้รับโอนข้อมูลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ทั้งนี้ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่กฎหมายหรือหน่วยงานทางการกำหนด เว้นแต่มีฐานที่ชอบด้วยกฎหมายดังต่อไปนี้
      1. เป็นการปฏิบัติตามกฎหมาย
      2. ได้รับความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล โดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทาง
      3. เป็นความจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
      4. เป็นการกระทำตามสัญญาระหว่าง MARCO ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
      5. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
      6. เป็นการจำเป็นในการดำเนินภารกิจเพื่อสาธารณะประโยชน์ที่สำคัญ

การเก็บรวบรวมส่วนบุคคล บริษัทจะเก็บรวบรวมข้อมูลของท่านโดยขอความยินยอมจากท่านก่อน เว้นแต่กรณีที่กฎหมายให้อำนาจไว้ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 24 หรือ มาตรา 26

บริษัทจะเก็บรวบรวมข้อมูลของท่านไว้เป็นระยะเวลาไม่เกิน 10 ปี นับแต่วันที่เลิกสัญญา

    • ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address MAC Address Cookie ID
    • ข้อมูลอื่นๆ เช่น การใช้งานเว็บไซต์ เสียง ภาพนิ่ง ภาพเคลื่อนไหว และข้อมูลอื่นใดที่ถือว่าเป็นข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
  1. กรณีฝ่ายงานที่เกี่ยวข้องใน MARCO มีความประสงค์ที่จะส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ให้ ประสานงานมายัง DPO Office
  2. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศที่เข้าข่ายต้องปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ให้ถือปฏิบัติตามมาตรฐานที่ MARCO กำหนด โดยต้องผ่านการพิจารณาอนุมัติจากคณะทำงานที่มีอำนาจตามกระบวนการที่กำหนดไว้
  3. การพิจารณาความเพียงพอของมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทางที่รับข้อมูล รวมถึง เงื่อนไขและข้อยกเว้นต่างๆ ในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศต้องผ่านการพิจารณาให้ความ เห็นชอบจากฝ่าย Operation และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)