นโยบายฉบับนี้ถูกจัดทำขึ้นเพื่อเป็นข้อกำหนดในการปฏิบัติงานสำหรับพนักงาน MARCO ในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศให้เป็นไปตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฏเกณฑ์ทางการอื่นๆ ที่เกี่ยวข้อง
คำจำกัดความ
“Marco” |
หมายถึง |
อ้างอิงตามคำจำกัดความใน “Personal Data Protection Policy” |
“พนักงาน” |
หมายถึง |
อ้างอิงตามคำจำกัดความใน “Personal Data Protection Policy” |
“ข้อมูลส่วนบุคคล” |
หมายถึง |
อ้างอิงตามคำจำกัดความใน “Personal Data Protection Policy” |
“เจ้าของข้อมูลส่วนบุคคล” |
หมายถึง |
อ้างอิงตามคำจำกัดความใน “Personal Data Protection Policy” |
“ผู้ควบคุมข้อมูลส่วนบุคคล” |
หมายถึง |
อ้างอิงตามคำจำกัดความใน “Personal Data Protection Policy” |
“การประมวลผลข้อมูล” |
หมายถึง |
อ้างอิงตามคำจำกัดความใน “Personal Data Protection Policy” |
“สำนักงาน” |
หมายถึง |
อ้างอิงตามคำจำกัดความใน “Personal Data Protection Policy” |
“ผู้มีอำนาจอนุมัติ” |
หมายถึง |
ผู้ที่ได้รับมอบหมายจาก MARCO ให้มีอานาจในการอนุมัติใดๆภายใต้ขอบเขตอำนาจที่ได้รับจาก MARCO |
“ประเทศที่มีมาตรฐานการ คุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ” |
หมายถึง |
ประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอตามที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
“การส่งหรือโอนข้อมูล (Transfer)” |
หมายถึง |
การส่งหรือโอนข้อมูลส่วนบุคคลจากประเทศไทยโดยมีการดำเนินการให้ข้อมูลส่วนบุคคลเข้าสู่ระบบเพื่อให้ปรากฎผลหรือเข้าถึงได้บนอุปกรณ์ที่อยู่นอกประเทศไทย รวมถึงการจัดเก็บฐานข้อมูลหรือประมวลผลข้อมูลในต่างประเทศ |
“การส่งผ่านข้อมูล (Transit)” |
หมายถึง |
การส่งข้อมูลที่เป็นเพียงการเดินทางผ่านของข้อมูลในลักษณะที่ไม่สามารถเข้าถึงได้บนอุปกรณ์ที่อยู่นอกประเทศไทยและไม่ได้มีการจัดเก็บฐานข้อมูล หรือประมวลผลข้อมูลในประเทศที่ข้อมูลเดินทางผ่าน |
บทบาทหน้าที่และความรับผิดชอบ
- คณะ MARCO Management Committee มีหน้าที่กำกับดูแลให้มีการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎเกณฑ์ทางการ
- หน่วยงานเจ้าของเอกสาร มีหน้าที่ดำเนินการทบทวนนโยบายฉบับนี้ตามความเหมาะสมอย่างน้อยปีละ 1 ครั้ง หรือ เมื่อมีการเปลี่ยนแปลงที่สำคัญต่อการปฏิบัติงานตามนโยบาย
- ผู้บริหารระดับสูง มีหน้าที่ควบคุมดูแลการปฏิบัติงานในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ หรือ องค์กรระหว่างประเทศ เพื่อให้เป็นไปตามกฎหมายและกฏเกณฑ์ทางการอื่นๆที่เกี่ยวข้อง
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีหน้าที่กำกับดูแลการปฏิบัติงานต่างๆให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
- พนักงาน มีหน้าที่ปฏิบัติตามนโยบาย ระเบียบปฏิบัติ และคำสั่งของ MARCO รวมถึงกฎหมายและกฎเกณฑ์ทางการต่างๆ ที่เกี่ยวข้องโดยเคร่งครัด
บททั่วไป
- นโยบายฉบับนี้กำหนดขึ้นเพื่อคุ้มครองสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล ในกรณีที่ MARCO มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ซึ่งสอดคล้องกับ นโยบายการคุ้มครองข้อมูลส่วนบุคคล
- การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศตามนโยบายฉบับนี้ ครอบคลุมเฉพาะข้อมูลส่วนบุคคลของลูกค้าบุคคลธรรมดา พนักงาน และคู่ค้าเท่านั้น ไม่รวมข้อมูลของนิติบุคคลหรือข้อมูลอื่น
- นโยบายฉบับนี้ครอบคลุมการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศของ MARCO ไม่ว่าจะเป็นการส่งหรือโอนข้อมูลเพื่อประโยชน์ในการประมวลผลหรือการจัดเก็บฐานข้อมูลในต่างประเทศ เช่น
- การส่งหรือโอนข้อมูลระหว่าง MARCO (ผู้ส่งหรือโอนข้อมูล) กับบริษัทในกลุ่มธุรกิจในต่างประเทศ หรือสาขา หรือสำนักงานผู้แทนในต่างประเทศของ MARCO (ผู้รับโอนข้อมูล)
- การส่งหรือโอนข้อมูลระหว่าง MARCO (ผู้ส่งหรือโอนข้อมูล) กับพันธมิตรทางธุรกิจ (Business Partner)ในต่างประเทศ องค์กรระหว่างประเทศ รวมถึงผู้ให้บริการจัดเก็บหรือประมวลผลข้อมูลเพื่อสร้างมูลค่าเพิ่มให้กับธุรกิจในห่วงโซ่อุปทานในต่างประเทศ (ผู้รับโอนข้อมูล)
4. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ไม่รวมการส่งหรือโอนข้อมูลไปยังต่างประเทศที่มีกฎหมายอื่น หรือมาตรฐานเฉพาะรองรับ เช่น การโอนเงินระหว่างประเทศ เป็นต้น
- การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศต้องระบุวัตถุประสงค์ที่ชัดเจน
- วัตถุประสงค์ของการส่งหรือโอนข้อมูลส่วนบุคคลต้องเป็นไปเพื่อนำข้อมูลมาใช้ในการดำเนินงานของ MARCO ในด้านต่างๆ ภายใต้ข้อกำหนดทางกฎหมายหรือกฎเกณฑ์ทางการเท่านั้น เช่น เพื่อวัตถุประสงค์ในเชิงพาณิชย์ เพื่อการบริหารงานทรัพยากรบุคคล เพื่อการศึกษาและวิจัย เป็นต้น
- “การส่งหรือโอนข้อมูล” (Transfer) ที่ต้องปฏิบัติตามหลักการคุ้มครองข้อมูลส่วนบุคคลนี้ ไม่รวมถึง“การส่งผ่านข้อมูล” (Transit) เนื่องจากการส่งผ่านข้อมูลเป็นการสื่อสารข้อมูลที่เพียงเดินทางผ่านเท่านั้น เว้นแต่มีการเข้าถึงหรือสามารถประมวลผลข้อมูล ณ ประเทศที่ข้อมูลเดินทางผ่านจึงจะเข้าข่ายเป็นการส่งหรือโอนข้อมูลที่ต้องปฏิบัติตามนโยบายฉบับนี้
- การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศที่เข้าข่ายตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต้องผ่านการพิจารณาและอนุมัติตามกระบวนการที่ MARCO กำหนด
- ในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศ ผู้รับโอนข้อมูลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ทั้งนี้ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่กฎหมายหรือหน่วยงานทางการกำหนด เว้นแต่มีฐานที่ชอบด้วยกฎหมายดังต่อไปนี้
- เป็นการปฏิบัติตามกฎหมาย
- ได้รับความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล โดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทาง
- เป็นความจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
- เป็นการกระทำตามสัญญาระหว่าง MARCO ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
- เป็นการจำเป็นในการดำเนินภารกิจเพื่อสาธารณะประโยชน์ที่สำคัญ
แนวปฏิบัติในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
การเก็บรวบรวมส่วนบุคคล บริษัทจะเก็บรวบรวมข้อมูลของท่านโดยขอความยินยอมจากท่านก่อน เว้นแต่กรณีที่กฎหมายให้อำนาจไว้ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 24 หรือ มาตรา 26
บริษัทจะเก็บรวบรวมข้อมูลของท่านไว้เป็นระยะเวลาไม่เกิน 10 ปี นับแต่วันที่เลิกสัญญา
- ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address MAC Address Cookie ID
- ข้อมูลอื่นๆ เช่น การใช้งานเว็บไซต์ เสียง ภาพนิ่ง ภาพเคลื่อนไหว และข้อมูลอื่นใดที่ถือว่าเป็นข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
สิทธิของท่านเกี่ยวกับข้อมูลส่วนบุคคล
- กรณีฝ่ายงานที่เกี่ยวข้องใน MARCO มีความประสงค์ที่จะส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ให้ ประสานงานมายัง DPO Office
- การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศที่เข้าข่ายต้องปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ให้ถือปฏิบัติตามมาตรฐานที่ MARCO กำหนด โดยต้องผ่านการพิจารณาอนุมัติจากคณะทำงานที่มีอำนาจตามกระบวนการที่กำหนดไว้
- การพิจารณาความเพียงพอของมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทางที่รับข้อมูล รวมถึง เงื่อนไขและข้อยกเว้นต่างๆ ในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศต้องผ่านการพิจารณาให้ความ เห็นชอบจากฝ่าย Operation และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)