MARCO ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล เนื่องจากการคุ้มครองข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของการรับผิดชอบต่อสังคมและเป็นรากฐานในการสร้างความสัมพันธ์ทางธุรกิจที่น่าเชื่อถือกับลูกค้า MARCO จึงยึดมั่นในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และกฎเกณฑ์ทางการอื่นๆ ที่เกี่ยวข้อง
นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ถูกจัดทำขึ้นเพื่อกำหนดหลักการปฏิบัติงานสำหรับพนักงานของ MARCO ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎเกณฑ์ทางการอื่นๆ ที่เกี่ยวข้อง
คำจำกัดความ
“MARCO” | หมายถึง | บริษัท มาโค เทคโนโลยี จำกัด |
“พนักงาน” | หมายถึง | พนักงานของ MARCO |
“ผู้มีอำนาจอนุมัติ” | หมายถึง | ผู้ที่ได้รับมอบหมายจาก MARCO ให้มีอำนาจในการอนุมัติใดๆ ภายใต้ขอบเขตอำนาจที่ได้รับจาก MARCO |
“ผู้ดูแลระบบงาน” | หมายถึง | หน่วยงานหรือผู้ที่ได้รับมอบหมายจากเจ้าของระบบงานหรือเจ้าของข้อมูลส่วนบุคคล ให้ทำหน้าที่รับผิดชอบดูแลระบบงานหนึ่งๆ |
“เจ้าของระบบงาน” | หมายถึง | ผู้บริหารของฝ่ายงานทางธุรกิจ หรือผู้บริหาร ที่มีหน้าที่และความรับผิดชอบต่อระบบงานหนึ่งๆ
|
“เจ้าของข้อมูลส่วนบุคคล” | หมายถึง | บุคคลธรรมดาที่สามารถระบุตัวตนได้จากข้อมูลส่วนบุคคล (ไม่ใช่เป็นเจ้าของในลักษณะทรัพยสิทธิ หรือเป็นผู้ที่สร้างข้อมูลนั้นขึ้นมา)
|
“ผู้เยาว์” | หมายถึง | บุคคลธรรมดาที่มีอายุยังไม่ครบยี่สิบปีบริบูรณ์ ยกเว้นบุคคลธรรมดาที่มีอายุยังไม่ครบยี่สิบปีบริบูรณ์แต่ได้ทำการสมรสตามกฎหมายอันมีผลให้เป็นผู้บรรลุนิติภาวะตามบทบัญญัติแห่งกฎหมาย |
“คนไร้ความสามารถ” | หมายถึง | บุคคลวิกลจริตที่ไม่สามารถดูแลตัวเองหรือผลประโยชน์ของตัวเองได้ ซึ่งศาลได้สั่งให้เป็นคนไร้ความสามารถและอยู่ในความดูแลของผู้อนุบาลที่ศาลแต่งตั้ง |
“คนเสมือนไร้ความสามารถ” | หมายถึง | บุคคลที่มีกายพิการ หรือมีจิตฟั่นเฟือนไม่สมประกอบ หรือประพฤติสุรุ่ยสุร่ายเสเพลเป็นอาจิณ หรือติดสุรายาเมา หรือเหตุอื่นใดทำนองเดียวกัน จนไม่สามารถจัดทำการงานโดยตนเองได้ หรือจัดกิจการไปในทางที่เสื่อมเสียแก่ทรัพย์สินของตนเองหรือครอบครัว ซึ่งศาลได้สั่งให้เป็นคนเสมือนไร้ความสามารถและอยู่ในความดูแลของผู้พิทักษ์ที่ศาลแต่งตั้ง |
“ข้อมูลส่วนบุคคล” | หมายถึง | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม |
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” | หมายถึง | ข้อมูลส่วนบุคคลที่ต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ และอื่นๆ ตามที่กฎหมายกำหนด |
“ข้อมูลชีวภาพ” | หมายถึง | ข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ |
“ผู้ควบคุมข้อมูลส่วนบุคคล” | หมายถึง | ผู้ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล |
“ผู้ประมวลผลข้อมูลส่วนบุคคล” | หมายถึง | ผู้ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล |
“การประมวลผลข้อมูล” | หมายถึง | การดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนม้ติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย
|
“สำนักงาน” | หมายถึง | สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
|
บทบาทหน้าที่และความรับผิดชอบ
- คณะกรรมการบริหาร MARCO (MARCO Management Committee) มีหน้าที่กำกับดูแลให้มีการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายและกฎเกณฑ์ทางการ กำกับดูแลการปฏิบัติตามนโยบาย และมีอำนาจอนุมัติการเปลี่ยนแปลงแก้ไขหรือทบทวนนโยบายนี้
- ผู้บริหารระดับสูงมีหน้าที่ควบคุมการปฏิบัติงานเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมายและกฎเกณฑ์ทางการ รวมถึงจัดให้มีการรักษาความปลอดภัยของข้อมูลที่มีประสิทธิผล
- พนักงานมีหน้าที่ปฏิบัติตามนโยบาย ระเบียบ และกระบวนการปฏิบัติงานของ MARCO รวมถึงกฎหมายและกฎเกณฑ์ต่างๆโดยเคร่งครัด
บททั่วไป
- การคุ้มครองข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ครอบคลุมข้อมูลส่วนบุคคลของบุคคลธรรมดาทุกประเภทที่ MARCO ได้รับข้อมูลส่วนบุคคลนั้นมาทั้งทางตรงและทางอ้อมไม่ว่าผ่านช่องทางใด
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) มีหน้าที่ดำเนินการทบทวนนโยบายฉบับนี้อย่างน้อยปีละ 1 ครั้ง หรือ เมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญต่อการปฏิบัติงานตามนโยบายนี้
- MARCO เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะนั้น เว้นแต่ MARCO ได้ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ หรือมีฐานที่ชอบด้วยกฎหมายรองรับ ดังนี้
- เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา
- เป็นการปฏิบัติตามกฎหมาย
- เป็นการจำเป็นภายใต้ประโยชน์โดยชอบด้วยกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผล
- เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะ
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
- เพื่อการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
2. MARCO เก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายและแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบตามที่กฎหมายกำหนด
3. MARCO ลบ ทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลหรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอหรือตามที่เจ้าของข้อมูลส่วนบุคคลถอนความยินยอม เว้นแต่มีเหตุโดยชอบด้วยกฎหมายหรือกฎเกณฑ์ทางการที่ทำให้ MARCO ต้องเก็บรักษาข้อมูลส่วนบุคคลนั้นต่อไป
4. MARCO ดูแลข้อมูลส่วนบุคคลอย่างปลอดภัย รวมถึงคำนึงถึงความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลและการรักษาความลับของข้อมูลส่วนบุคคล
หลักปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล
5.1 การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
- การขอความยินยอมในการเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล ต้องดำเนินการอย่างชัดแจ้ง เป็นลายลักษณ์อักษรหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ การขอความยินยอมด้วยวิธีอื่นจะต้องมีหลักฐานที่น่าเชื่อถือได้ว่า เจ้าของข้อมูลส่วนบุคคลได้แสดงเจตนาให้ความยินยอม
- เจ้าของข้อมูลส่วนบุคคลต้องได้รับการแจ้งให้ทราบถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างชัดเจน เข้าใจง่าย ไม่หลอกลวง หรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์และคำนึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม
- กรณีเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
- กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ
- กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
- กรณีเจ้าของข้อมูลส่วนบุคคล หรือผู้มีอำนาจตามข้อ 3, 4 และ 5 ข้างต้น ต้องการถอนความยินยอมที่เคยให้ไว้ ให้ดำเนินการตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอโดยง่ายเช่นเดียวกับการให้ความยินยอม และหากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ให้แจ้งถึงผลกระทบจากการถอนความยินยอมนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ
- MARCO ต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลเท่านั้น การเก็บรวบรวบ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างจากวัตถุประสงค์ที่ได้แจ้งไว้ จะทำไม่ได้เว้นแต่ได้แจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบ โดยได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
5.2 การเก็บรวบรวมข้อมูลส่วนบุคคล
- การเก็บรวบรวมข้อมูลส่วนบุคคลต้องมีวัตถุประสงค์เพื่อนำข้อมูลส่วนบุคคลมาใช้ในการดำเนินงานของ MARCO ในด้านต่างๆ ภายใต้ข้อกำหนดของกฎหมายหรือกฎเกณฑ์ทางการ
- ในการเก็บรวบรวมข้อมูลส่วนบุคคล ให้แจ้งเจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ถึงรายละเอียดดังต่อไปนี้
- วัตถุประสงค์ของการเก็บรวบรวบเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย
- ความจำเป็นที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือเพื่อเข้าทำสัญญา และผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
- ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้
- ประเภทของบุคคลหรือหน่วยงานที่อาจได้รับการเปิดเผยข้อมูลส่วนบุคคล รวมถึงรายชื่อของบุคคลหรือหน่วยงานดังกล่าว (ตามแต่กรณี)
- สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย
- ข้อมูลเกี่ยวกับ MARCO และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ
3. ข้อมูลส่วนบุคคลที่เก็บรวบรวมต้องถูกต้องครบถ้วนตามข้อเท็จจริงที่ได้รับแจ้งจากเจ้าของข้อมูลส่วนบุคคล หากข้อมูลมีการเปลี่ยนแปลง ให้ดำเนินการแก้ไขให้ถูกต้องและเป็นปัจจุบัน
4. การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว ให้ดำเนินการขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ โดยต้องขออนุมัติจากผู้มีอำนาจอนุมัติ
5. การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง ต้องแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบภายใน 30 วันนับตั้งแต่เก็บรวบรวมข้อมูลส่วนบุคคล โดยขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ โดยขออนุมัติจากผู้มีอำนาจอนุมัติ
6. การเก็บรวบรวมข้อมูลส่วนบุคคล ต้องมีการบันทึกรายละเอียดวัตถุประสงค์การเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ระยะเวลาเก็บรักษาข้อมูล สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล และเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล รวมถึงรายละเอียดอื่นๆ ตามที่กฎหมายกำหนดเพื่อให้เจ้าของข้อมูลส่วนบุคคลหรือสำนักงานตรวจสอบได้
5.3 การเข้าถึงและการใช้ข้อมูลส่วนบุคคล
- พนักงานสามารถเข้าถึงหรือใช้ข้อมูลส่วนบุคคลได้เท่าที่จำเป็นเพื่อการปฏิบัติงานและตามสิทธิที่ MARCO กำหนดเท่านั้น หากพนักงานมีความจำเป็นในการปฏิบัติงานที่ต้องเข้าถึงหรือใช้ข้อมูลส่วนบุคคลเกินกว่าสิทธิที่ MARCO กำหนด ให้ดำเนินการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของ MARCO (MARCO DPO)
- พนักงานต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่เก็บรวบรวมข้อมูลส่วนบุคคลหรือตามที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมเท่านั้น เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ
- ผู้ดูแลระบบงานและเจ้าของระบบงานต้องอนุญาตให้พนักงานเข้าถึงข้อมูลส่วนบุคคลได้เฉพาะพนักงานที่มีสิทธิตามที่ MARCO กำหนด
5.4 การเปิดเผยและการรับข้อมูลส่วนบุคคล
- การเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลหรือองค์กรภายนอก MARCO ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือมีฐานที่ชอบด้วยกฎหมายรองรับ โดยให้ถือปฏิบัติตามมาตรการเปิดเผยและรับส่งข้อมูลส่วนบุคคลที่ MARCO กำหนดไว้ เว้นแต่เป็นการปฏิบัติตามกฎหมายหรือกฎเกณฑ์ทางการ
- การรับข้อมูลส่วนบุคคลจากบุคคลหรือองค์กรภายนอก MARCO ต้องตรวจสอบให้มั่นใจว่าข้อมูลส่วนบุคคลที่ได้รับ มีฐานที่ชอบด้วยกฎหมายรองรับ โดยให้ถือปฏิบัติตามมาตรการเปิดเผยและรับส่งข้อมูลส่วนบุคคลที่กำหนดไว้ เว้นแต่เป็นการปฏิบัติตามกฎหมายหรือกฎเกณฑ์ทางการ
- กรณีที่ MARCO ให้บุคคลหรือองค์กรภายนอก MARCO เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแทน MARCO (ผู้ประมวลผลข้อมูลส่วนบุคคล) ต้องจัดให้มีข้อตกลงระหว่างกันเพื่อควบคุมการดำเนินงานของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย โดยกำหนดวัตถุประสงค์หรือคำสั่งในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคลอย่างชัดเจน และกำหนดมาตรการป้องกันไม่ให้ผู้ประมวลผลข้อมูลส่วนบุคคลเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับจาก MARCO นอกเหนือจากวัตถุประสงค์หรือคำสั่งที่ MARCO กำหนด
5.5 การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
- ในกรณีที่ MARCO ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์กรระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่กฎหมายกำหนด เว้นแต่
- เป็นการปฏิบัติตามกฎหมาย
- ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทาง
- เป็นความจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคคลก่อนเข้าทำสัญญานั้น
- เป็นการกระทำตามสัญญาระหว่าง MARCO ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
- เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
2. กรณี MARCO ได้กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลเพื่อการส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในต่างประเทศและอยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน หากนโยบายการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวได้รับการตรวจสอบและรับรองจากสำนักงาน การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศที่เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรองดังกล่าวให้สามารถกระทำได้โดยไม่ต้องปฏิบัติตามข้อ 1 ข้างต้น
3. การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศให้ถือปฏิบัติตาม นโยบายการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
5.6 การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
- ข้อมูลส่วนบุคคลต้องได้รับการรักษาความมั่นคงปลอดภัยด้วยมาตรการที่เหมาะสมตามที่ MARCO กำหนด และเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ มาตรการดังกล่าวต้องได้รับการทบทวนเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มาตรการรักษาความมั่นคงปลอดภัยของ MARCO มีประสิทธิผลอย่างต่อเนื่อง
- ข้อมูลส่วนบุคคลต้องได้รับการจำแนกชั้นความลับ และไม่ถูกเปิดเผยต่อบุคคลอื่นที่ไม่มีหน้าที่เกี่ยวข้อง เว้นแต่เป็นการปฏิบัติตามกฎหมายหรือกฎเกณฑ์ทางการ
- การนำข้อมูลส่วนบุคคลออกจากระบบงานเพื่อนำมาใช้ปฏิบัติงานที่เครื่องคอมพิวเตอร์ของ MARCO ที่ให้พนักงานหรือฝ่ายงานใช้งาน ต้องมีการเก็บรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและป้องกันไม่ให้บุคคลอื่นที่ไม่มีหน้าที่เกี่ยวข้องเข้าถึงข้อมูลส่วนบุคคล รวมถึงต้องมีการลบหรือทำลายข้อมูลส่วนบุคคลในเครื่องคอมพิวเตอร์นั้นเมื่อใช้งานเสร็จ
5.7 สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิต่างๆ เกี่ยวกับข้อมูลส่วนบุคคลของตนได้ตามที่กฎหมายกำหนด โดยฝ่ายงานที่เกี่ยวข้องต้องจัดการการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลภายในระยะเวลาที่กฎหมายหรือกฎเกณฑ์ทางการกำหนด
- เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเพิกถอนความยินยอมที่ได้ให้ไว้กับ MARCO ได้
- เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
- เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ส่งหรือโอนข้อมูลส่วนบุคคลของตนในรูปแบบที่สามารถอ่านหรือใช้งานได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ ไปยังผู้ควบคุมข้อมูลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
- เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้
- เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
- เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอระงับการใช้ข้อมูลส่วนบุคคลของตนได้
- เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
5.8 หน้าที่ของ MARCO ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (MARCO as a Data Controller)
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยมิชอบ และทบทวนมาตรการควบคุมดังกล่าวเมื่อจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป โดยต้องไม่น้อยกว่ามาตรฐานขั้นต่ำที่กฎหมายกำหนด
- กรณีต้องให้ข้อมูลส่วนบุคคลแก่บุคคลอื่น ต้องดำเนินการป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยมิชอบ
- จัดให้มีกระบวนการเพื่อลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บข้อมูลส่วนบุคคลนั้น
- แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่สามารถกระทำได้ เว้นแต่การละเมิดไม่มีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะส่งผลกระทบต่อสิทธิเสรีภาพของบุคคล ให้แจ้งเหตุละเมิดแก่เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางเยียวยาโดยไม่ชักช้า ทั้งนี้ การแจ้งดังกล่าวจะต้องเป็นไปตามหลักเกณฑ์และวิธีการที่กฎหมายกำหนด
5.9 หน้าที่ของ MARCO ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (MARCO as a Data Processor)
- ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
- จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์ที่กฎหมายกำหนด
5.10 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่ MARCO แต่งตั้ง มีหน้าที่และความรับผิดชอบดังนี้
- ควบคุมดูแลให้มีการจัดทำและกำหนดนโยบาย ระเบียบ คู่มือ และกระบวนการปฏิบัติงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
- ดำเนินการร่วมกับฝ่ายงานที่เกี่ยวข้องในการกำกับดูแลการปฏิบัติงานต่างๆ ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
- ให้คำแนะนำและความเห็นเกี่ยวกับการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
- จัดให้พนักงานได้รับการสื่อความและฝึกอบรมอย่างเพียงพอ เพื่อให้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล
- พิจารณาคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายและการดำเนินการที่เกี่ยวข้อง
- ร่วมกับฝ่ายงานที่เกี่ยวข้องในการตรวจสอบการปฏิบัติงานของ MARCO หรือผู้ประมวลผลข้อมูลส่วนบุคคลรวมถึงลูกจ้างหรือผู้รับจ้างของผู้ประมวลผลข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เป็นไปตามข้อกำหนดของกฎหมายและสอดคล้องกับนโยบาย ระเบียบ และกระบวนการปฏิบัติงาน และรายงานผลการตรวจสอบที่มีนัยสำคัญต่อ คณะ MARCO Management Committee
- ประสานงานและให้ความร่วมมือกับหน่วยงานทางการ ในเรื่องการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลตามเงื่อนไขและภายในระยะเวลาที่กฎหมายกำหนด
- พนักงานต้องแจ้งให้ผู้บังคับบัญชาและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทราบโดยทันที เมื่อพบว่ามีการฝ่าฝืนนโยบายฉบับนี้ นโยบายอื่นที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กฎหมาย หรือกฎเกณฑ์ทางการ อื่นๆ ที่เกี่ยวข้อง
- หากพบว่ามีการละเมิดข้อมูลส่วนบุคคล ฝ่ายงานที่เกี่ยวข้องต้องดำเนินการตรวจสอบข้อเท็จจริงและสาเหตุ และแจ้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าวต่อ คณะ MARCO Management Committee และสำนักงานโดยไม่ชักช้า ภายใน 72 ชั่วโมงนับตั้งแต่ทราบเหตุ เว้นแต่การละเมิดข้อมูลส่วนบุคคลดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หากการละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ฝ่ายงานที่เกี่ยวข้องต้องแจ้งเหตุละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางการเยียวยา
สิทธิของท่านเกี่ยวกับข้อมูลส่วนบุคคล
สิทธิของท่านในข้อนี้เป็นสิทธิตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่นที่เกี่ยวข้องที่ท่านควรทราบ โดยท่านสามารถขอใช้สิทธิต่างๆ ได้ภายใต้ข้อกำหนดของกฎหมาย และนโยบายที่บริษัทกำหนดไว้ก่อนหรือในขณะหรือที่จะมีการแก้ไขเพิ่มเติมในอนาคต ตลอดจนหลักเกณฑ์ตามที่บริษัทกำหนดขึ้น
5.1 สิทธิในการขอถอนความยินยอม: ท่านมีสิทธิที่จะถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของท่านอยู่กับบริษัท เว้นแต่มีข้อจำกัดสิทธินั้นโดยกฎหมายหรือมีสัญญาที่ให้ประโยชน์แก่ท่านอยู่ (ไม่ว่าจะเป็นความยินยอมที่ท่านให้ไว้ก่อนวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับหรือหลังจากนั้น)
5.2 สิทธิในการขอเข้าถึง ขอรับข้อมูลหรือสำเนาข้อมูล: ท่านมีสิทธิขอเข้าถึง หรือรับ ข้อมูลส่วนบุคคลของท่านเองที่อยู่ในความรับผิดชอบของบริษัท และขอให้บริษัททำสำเนาข้อมูลดังกล่าวให้แก่ท่าน รวมถึงขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่ท่านไม่ได้ให้ความยินยอมว่าบริษัทได้ข้อมูลส่วนบุคคลของท่านมาได้อย่างไร
5.3 สิทธิในการคัดค้าน: ท่านมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านเมื่อใดก็ได้ ในกรณีที่กฎหมายให้อำนาจบริษัทในการเก็บรวบรวมข้อมูลของท่านได้โดยไม่ต้องขอความยินยอมจากท่านก่อน
5.4 สิทธิขอให้แก้ไขข้อมูล: ท่านมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด
5.5 สิทธิขอให้ลบหรือทำลายข้อมูล: ท่านมีสิทธิขอลบหรือทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของได้ ดังต่อไปนี้
- ข้อมูลของท่านไม่มีความจำเป็นที่จะเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของท่าน
- เมื่อท่านได้ใช้สิทธิขอถอนความยินยอมและบริษัทไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านได้
- เมื่อท่านใช้สิทธิคัดค้านตาม ข้อ 5.3 และบริษัทไม่อาจปฏิเสธคำขอได้ตามกฎหมาย
- เมื่อข้อมูลของท่านได้ถูกเก็บ ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย
5.6 สิทธิขอให้ระงับการใช้ข้อมูล: ท่านมีสิทธิขอให้บริษัทระงับการใช้ข้อมูลของท่าน ในกรณีดังต่อไปนี้
- เมื่อบริษัทอยู่ในระหว่างการตรวจสอบตามที่ท่านร้องขอ
- เมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทำลาย แต่ท่านขอให้ระงับการใช้แทน
- เมื่อข้อมูลของท่านหมดความจำเป็นในการเก็บรักษาตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลของท่าน แต่ท่านมีความจำเป็นต้องขอให้เก็บรักษาไว้เพื่อใช้ในการตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
- เมื่อบริษัทอยู่ระหว่างพิสูจน์คำขอคัดค้านของท่านตามข้อ 5.3 เพื่อดูว่าบริษัทมีอำนาจตามกฎหมายให้ปฏิเสธคำคัดค้านของท่านได้หรือไม่
5.7 ท่านมีสิทธิร้องขอให้บริษัทดำเนินการให้ข้อมูลของท่านนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด หากบริษัทไม่ดำเนินการตามคำร้องขอ บริษัทจะบันทึกคำร้องขอของท่านพร้อมด้วยเหตุผลไว้เป็นหนังสือหรือระบบอิเล็กทรอนิกส์
5.8 สิทธิร้องเรียน: ท่านมีสิทธิร้องเรียนต่อผู้มีอำนาจตามกฎหมายที่เกี่ยวข้อง หากท่านเชื่อว่าการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านเป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายที่เกี่ยวข้อง
5.9 การใช้สิทธิของท่านดังกล่าวข้างต้นอาจถูกจำกัดภายใต้กฎหมายที่เกี่ยวข้อง และมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฏิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิข้างต้นของท่านได้ เช่น ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล การใช้สิทธิละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น เป็นต้น
เรื่องอื่นๆ
กรณีที่มีการแก้ไขหรือเปลี่ยนแปลงกฎหมายหรือข้อกำหนดของหน่วยงานทางการที่เกี่ยวข้องกับการคุ้มครองข้อส่วนบุคคลที่นอกเหนือจากที่กำหนดไว้ในนโยบายฉบับนี้ ให้พนักงานถือปฏิบัติตามกฎหมายหรือข้อกำหนดของหน่วยงานทางการที่แก้ไขหรือเปลี่ยนแปลงนั้น
พนักงานต้องได้รับการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ เพื่อให้พนักงานตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และสามารถปฏิบัติงานได้ถูกต้องตามนโยบายฉบับนี้ รวมถึงกฎหมายและกฎเกณฑ์ทางการที่เกี่ยวข้อง
6.3 การจัดทำระเบียบ คำสั่ง และคู่มือปฏิบัติงาน
ฝ่ายงานที่เกี่ยวข้องต้องจัดให้มีระเบียบปฏิบัติ คำสั่ง และคู่มือปฏิบัติงานในการคุ้มครองข้อมูลส่วนบุคคลตามความเหมาะสม และทบทวนระเบียบปฏิบัติ คำสั่ง และคู่มือปฏิบัติงานดังกล่าวอย่างสม่ำเสมอ