Privacy Notice
นโยบาย เรื่อง การคุ้มครองข้อมูลส่วนบุคคล
วัตถุประสงค์และขอบเขตของนโยบายการคุ้มครองข้อมูลส่วนบุคคล
เพื่อเป็นการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่นๆ ที่เกี่ยวข้อง รวมถึงกฎหมายฉบับแก้ไขเพิ่มเติมใดๆ ในอนาคต (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) บริษัท บางกอกแล็ป แอนด์ คอสเมติค จำกัด (“บริษัท”) จึงจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ (“นโยบาย”) ขึ้นเพื่ออธิบายรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลแก่บุคลากรและพนักงานของบริษัท หรือบุคลากรและพนักงานของบุคคลภายนอกที่เป็นผู้กระทำการแทนหรือในนามของบริษัท ในการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลซึ่งมีความเกี่ยวข้องกับการดำเนินธุรกิจของบริษัท ให้เป็นไปโดยถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งอาจก่อให้เกิดการเลือกปฏิบัติโดยไม่เป็นธรรมต่อเจ้าของข้อมูลส่วนบุคคลหรือกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล ได้แก่ ลูกค้า คู่ค้า ผู้ให้บริการ กรรมการ พนักงาน ลูกจ้าง ผู้มาติดต่อ และบุคคลธรรมดาอื่นใดที่บริษัทมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลธรรมดานั้น
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บริษัท มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บริษัท หรือผู้ที่บริษัทกำหนดให้ประมวลผลแทน มีหน้าที่ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ฐานทางกฎหมาย” หมายถึง เหตุที่กฎหมายรองรับให้สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้ ทั้งนี้ ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
ในการเก็บรวบรวมข้อมูลส่วนบุคคล บริษัทได้กำหนดไว้ดังนี้
1. ข้อมูลส่วนบุคคลทั่วไป
บริษัทจะเก็บข้อมูลส่วนบุคคลให้เป็นไปตามฐานทางกฎหมายอย่างใดอย่างหนึ่ง ดังนี้
1.1 ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (ฐานความยินยอม)
ในกรณีที่ไม่สามารถเก็บรวบรวมข้อมูลด้วยฐานทางกฎหมายอื่นตามที่ระบุในข้อ 1.2 - 1.7 บริษัทมีการขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลทั้งก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล โดยทำเป็นลายลักษณ์อักษรหรือกระทำผ่านระบบอิเล็กทรอนิกส์ ยกเว้นการขอความยินยอมด้วยวิธีดังกล่าวไม่สามารถกระทำได้ ในกรณีนี้เจ้าของข้อมูลอาจให้ความยินยอมด้วยวาจาได้ บริษัทจะบันทึกความยินยอมดังกล่าวไว้เป็นลายลักษณ์อักษรพร้อมระบุรายละเอียดของวิธีการให้ความยินยอมและวันที่ให้ความยินยอมนั้น บริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเมื่อเจ้าของข้อมูลส่วนบุคคลให้ความยินยอมโดยอิสระและโดยความสมัครใจ
หมายเหตุ ถ้าบริษัทมีการขอความยินยอมจากผู้เยาว์ ที่ยังไม่บรรลุนิติภาวะ บุคคลไร้ความสามารถ หรือบุคคลเสมือนไร้ความสามารถ บริษัทต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ผู้อนุบาล หรือผู้พิทักษ์ตามลำดับ กรณีที่เป็นผู้เยาว์อายุ 10 ปีขึ้นไป ผู้เยาว์นั้นสามารถให้ความยินยอมเองได้โดยลำพัง ทั้งนี้การให้ความยินยอมต้องเป็นไปเพื่อประโยชน์ของผู้เยาว์เท่านั้น
1.2 เพื่อการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การทำวิจัยหรือสถิติ (ฐานจดหมายเหตุ/วิจัย/สถิติ)
ในกรณีที่บริษัทมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ โดยมีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด
1.3 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (ฐานประโยชน์สำคัญต่อชีวิต)
ในกรณีที่บริษัทมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคล เช่น บริษัทมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลเนื่องจากอุบัติเหตุฉุกเฉินที่เกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล
1.4 เพื่อปฏิบัติตามสัญญาระหว่างบริษัทกับเจ้าของข้อมูลส่วนบุคคลหรือเพื่อใช้ดำเนินการตามคำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญากับบริษัท (ฐานสัญญา)
ในกรณีที่บริษัทมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาโดยตรงกับบริษัท หรือดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญากับบริษัท
1.5 เพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ (ฐานประโยชน์สาธารณะ)
ในกรณีที่บริษัทมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัท
1.6 เพื่อประโยชน์โดยชอบด้วยกฎหมาย (ฐานประโยชน์โดยชอบด้วยกฎหมาย)
ในกรณีที่บริษัทมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อใช้ดำเนินการเกี่ยวกับประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือบุคคลที่สามซึ่งไม่ใช่บริษัท แต่ถ้าประโยชน์โดยชอบด้วยกฎหมายนั้นมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หากบริษัทมีความจำเป็นในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น บริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
1.7 เพื่อปฏิบัติตามกฎหมายที่บังคับใช้กับบริษัท (ฐานหน้าที่ตามกฎหมาย)
ในกรณีที่บริษัทมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคล เพื่อปฏิบัติตามที่กฎหมายบังคับ ซึ่งรวมถึงตามคำสั่งศาลหรือเจ้าหน้าที่ของรัฐ
2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวได้ก็ต่อเมื่อได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล (รายละเอียดในข้อ 1.1) เว้นแต่จะได้รับการยกเว้นตามกฎหมาย ดังนี้:
- เป็นการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ (เป็นการใช้สำหรับกรณีฉุกเฉิน)
- เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
- เป็นการจำเป็นเพื่อปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ
- เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง
- ประโยชน์ด้านสาธารณสุข เช่น วัตถุประสงค์ในการป้องกันโรคติดต่อหรือโรคระบาด
- การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลตามสิทธิของผู้มีสิทธิตามกฎหมาย
- การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น
- ประโยชน์สาธารณะอื่นที่สำคัญ เช่น วัตถุประสงค์ในการป้องกันและปราบปรามการฟอกเงิน
ทั้งนี้ รายละเอียดในเรื่องของ ประเภท วัตถุประสงค์ และฐานทางกฎหมายของการเก็บข้อมูลส่วนบุคคลของบริษัทนั้นจะปรากฏอยู่ในประกาศความเป็นส่วนตัวสำหรับเจ้าของข้อมูลส่วนบุคคลประเภทต่างๆ
3. แนวปฏิบัติในการเก็บรวบรวมข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลจะถูกเก็บรวบรวมไว้เท่าที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่บริษัทกำหนดไว้เท่านั้น บริษัทจะพิจารณาและเลือกเก็บรวบรวมข้อมูลเท่าที่จำเป็นที่จะต้องใช้และทิ้งหรือทำลายข้อมูลที่อาจได้มาโดยไม่จำเป็นโดยเฉพาะอย่างยิ่งข้อมูลส่วนบุคคลที่มีความอ่อนไหว ทั้งนี้เพื่อลดความเสี่ยงในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายของบริษัท
บริษัทได้จัดทำและแจ้งประกาศความเป็นส่วนตัว (Privacy Notice) ต่อเจ้าของข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลส่วนบุคคลใช้ประกอบการพิจารณาให้ความยินยอมในกรณีที่การเก็บรวบรวมนั้นไม่อยู่ในฐานของกฎหมาย
บริษัทจะแจ้งประกาศความเป็นส่วนตัวก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล ให้กับเจ้าของข้อมูลส่วนบุคคลทราบ เว้นแต่เป็นกรณีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกิดขึ้นก่อนประกาศใช้นโยบายฉบับนี้ บริษัทจะประกาศประกาศความเป็นส่วนตัวผ่านเว็บไซต์ของบริษัท
กรณีที่บริษัทมีการแก้ไขประกาศความเป็นส่วนตัวในภายหลัง บริษัทจะดำเนินการแจ้งการเปลี่ยนแปลงผ่านเว็บไซต์ของบริษัท
บริษัทมีนโยบายในการเก็บรวบรวมข้อมูลส่วนบุคคลจากตัวเจ้าของข้อมูลส่วนบุคคลเองโดยตรง หากบริษัทเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น บริษัทจะดำเนินการแจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลและประกาศความเป็นส่วนตัวให้เจ้าของข้อมูลส่วนบุคคลทราบ ภายใน 30 วัน นับแต่วันที่บริษัทได้เก็บรวบรวม และบริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลด้วย ในกรณีที่เก็บรวบรวมข้อมูลส่วนบุคคลโดยอาศัยฐานความยินยอม ทั้งนี้ ยกเว้นในกรณีที่บริษัทจะต้องนำข้อมูลส่วนบุคคลนั้นไปใช้ในการติดต่อกับเจ้าของข้อมูลส่วนบุคคลหรือ นำข้อมูลส่วนบุคคลไปเปิดเผย บริษัทจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเมื่อมีการติดต่อหรือก่อนการนำข้อมูลส่วนบุคคลไปเปิดเผยเป็นครั้งแรก เว้นแต่การแจ้งข้อมูลดังกล่าวไม่สามารถทำได้ หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท หรือเจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดต่างๆ นั้นอยู่แล้ว บริษัทสามารถยกเว้นการแจ้งข้อมูลการเก็บและประกาศความเป็นส่วนตัวดังกล่าวต่อเจ้าของข้อมูลส่วนบุคคลได้
ในกรณีที่บริษัทได้ว่าจ้างผู้ประมวลผลข้อมูลส่วนบุคคลในการกระทำการแทนตามคำสั่งของบริษัท บริษัทกำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้แจ้งประกาศความเป็นส่วนตัวแทนบริษัทได้ ซึ่งบริษัทจะควบคุมดูแลให้ผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติตามนโยบายฉบับนี้และถือเสมือนว่าบริษัทได้ดำเนินการแจ้งรายละเอียดตามหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
บริษัทจัดให้มีแบบคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เพื่ออำนวยความสะดวกให้แก่เจ้าของข้อมูลส่วนบุคคลในการแจ้งความประสงค์ขอใช้สิทธิต่างๆ เกี่ยวกับข้อมูลส่วนบุคคลของตนตามที่กำหนดในกฎหมายคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่บริษัทไม่สามารถดำเนินการตามคำร้องขอใช้สิทธิ บริษัทจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเป็นลายลักษณ์อักษร และเก็บบันทึกไว้เป็นหลักฐาน
1. สิทธิเพิกถอนความยินยอม เจ้าของข้อมูลส่วนบุคคลมีสิทธิเพิกถอนความยินยอม บางส่วนหรือทั้งหมด ตลอดระยะเวลาที่บริษัทเก็บรักษาข้อมูลส่วนบุคคล โดยบริษัทจะแจ้งถึงผลกระทบเมื่อมีการเพิกถอนให้เจ้าของข้อมูลส่วนบุคคลทราบด้วย การเพิกถอนความยินยอมจะไม่กระทบถึงการใดๆ ที่บริษัทได้กระทำไปแล้วก่อนหน้าอันเนื่องมาจากการได้รับความยินยอมโดยชอบด้วยกฎหมายจากเจ้าของข้อมูลส่วนบุคคล
เหตุในการปฏิเสธ: บริษัทมีสิทธิปฏิเสธการเพิกถอนความยินยอม กรณีที่มีข้อจำกัดสิทธิในการถอนความยินยอมตามกฎหมายหรือเป็นกรณีข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
ระยะเวลาการตอบสนอง: โดยไม่ชักช้า
2. สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของบริษัท หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
เหตุในการปฏิเสธ: บริษัทอาจปฏิเสธคำขอได้ในกรณีต่อไปนี้เท่านั้น:
- เป็นการทำตามกฎหมายหรือคำสั่งศาล หรือ
- เมื่อบริษัทเห็นว่าจะส่งผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของบุคคลอื่น
ทั้งนี้หากบริษัทไม่สามารถดำเนินการตาม คำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป
ระยะเวลาการตอบสนอง: กรณีบริษัทไม่อาจปฏิเสธได้ บริษัทจะดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลภายใน 30 วัน นับแต่วันที่ได้รับคำขอ
3. สิทธิร้องขอรับและขอให้โอนหรือส่งข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากบริษัท หรือขอให้บริษัทส่งหรือโอนข้อมูลไปให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลอื่นในรูปแบบที่สามารถอ่านได้หรือใช้งานได้โดยทั่วไป รวมถึงมีสิทธิขอรับข้อมูลส่วนบุคคลของตนเองที่บริษัทหรือบุคคลหรือผู้ควบคุมข้อมูลส่วนบุคคลอื่นได้รับโอนไปเก็บรวบรวมไว้ ข้อมูลส่วนบุคคลดังกล่าวต้องเป็นข้อมูลที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือเพื่อปฏิบัติตามสัญญาหรือเพื่อใช้ในการดำเนินการตามคำร้องขอก่อนทำสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับบริษัทเท่านั้น
เหตุการปฏิเสธ: บริษัทสามารถปฎิเสธคำร้องขอได้หากข้อมูลส่วนบุคคลดังกล่าวนั้นถูกใช้เพื่อประโยชน์สาธารณะหรือเพื่อปฏิบัติหน้าที่ตามกฎหมาย หรือการใช้สิทธินั้นเป็นการละเมิดสิทธิและเสรีภาพของบุคคลอื่น เช่น กรณีที่ข้อมูลส่วนบุคคลดังกล่าวมีข้อมูลที่เป็นความลับทางการค้า หรือข้อมูลทรัพย์สินทางปัญญาเป็นส่วนหนึ่ง
ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป
ระยะเวลาการตอบสนอง: โดยไม่ชักช้า
4. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทได้ในกรณีต่อไปนี้:
(1)เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์โดยชอบด้วยกฎหมายหรือสาธารณะประโยชน์ ซึ่งรวมถึงการปฏิบัติตามคำสั่งของเจ้าหน้าที่รัฐด้วย
เหตุปฏิเสธคำขอ (สำหรับข้อ 4 (1)): บริษัทสามารถพิสูจน์ได้ว่ามีเหตุที่ชอบด้วยกฎหมายที่สำคัญยิ่งกว่าผลประโยชน์ สิทธิ หรือเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อก่อตั้ง ปฏิบัติตาม ใช้ หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป
(2) กรณีการตลาดแบบตรง เจ้าของข้อมูลส่วนบุคคลสามารถคัดค้านได้อย่างไม่มีเงื่อนไข
(3) เพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ เว้นแต่เป็นการจำเป็นเพื่อประโยชน์สาธารณะ
ระยะเวลาการตอบสนอง: โดยไม่ชักช้า และในกรณีที่บริษัทไม่มีเหตุแห่งการปฏิเสธ บริษัทจะดำเนินการแยกส่วนข้อมูลส่วนบุคคลข้างต้นออกจากข้อมูลอื่นในทันทีนับแต่เมื่อเจ้าของข้อมูลส่วนบุคคลแจ้งการคัดค้านให้ทราบ
พนักงานและบุคลากรทุกคน รวมถึงบุคคลที่ได้รับการว่าจ้างและพนักงานของบุคคลที่บริษัทว่าจ้าง มีหน้าที่ในการปฏิบัติตามกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ และจะต้องรักษาความลับในข้อมูลส่วนบุคคลอย่างเคร่งครัด และไม่นำข้อมูลส่วนบุคคลที่ได้รับในระหว่างการปฏิบัติหน้าที่การงานไปใช้ในทางที่ไม่เหมาะสม ใช้เพื่อแสวงหาประโยชน์ส่วนตัว หรือใช้โดยมิชอบด้วยกฎหมาย โดยอาจแบ่งหน้าที่ได้ตามลำดับขั้น ดังนี้
1. ตำแหน่งประธานเจ้าหน้าที่บริหาร และบุคลากรระดับบริหาร
ประธานเจ้าหน้าที่บริหารและบุคลากรระดับบริหาร มีหน้าที่กำกับดูแลกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้
- มอบหมายงานให้แก่พนักงานในการกำหนดวิธีปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงวิธีปฏิบัติในการจัดการความเสี่ยงที่อาจเกิดขึ้นจากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยบริษัท พร้อมทั้งแนวทางในการแก้ปัญหาอย่างเป็นรูปธรรมเมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลขึ้นภายในบริษัท
- จัดให้มีการควบคุมและตรวจสอบการปฏิบัติตามนโยบายหรือความเหมาะสมของนโยบายนี้อย่างสม่ำเสมอ
- เป็นผู้อนุมัติในการดำเนินงานเชิงนโยบายต่างๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เช่น จัดให้มีการทบทวนความเหมาะสมของนโยบายนี้หรือการคุ้มครองข้อมูลส่วนบุคคลภายในบริษัทหรือแก้ไขเปลี่ยนแปลงนโยบายนี้
ประธานเจ้าหน้าที่บริหารมีหน้าที่กำกับดูแลกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้
- กำหนดบุคคลหรือหน่วยงานซึ่งทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล(Data Protection Officer: DPO)และ/หรือบุคคลหรือหน่วยงานอื่น เพื่อเป็นศูนย์กลางของบริษัทในการดูแลและรับเรื่องที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลจากหน่วยงานต่างๆ ภายในบริษัท
- พิจารณาและอนุมัติในการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
2. ตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล(Data Protection Officer: DPO)หรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
มีหน้าที่ให้คำแนะนำและตรวจสอบกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัทดังนี้
- วิเคราะห์ ประเมิน ตรวจสอบ และควบคุมกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของบริษัท และให้คำแนะนำแก่บุคลากรหรือหน่วยงานอื่นภายในบริษัท เพื่อให้กิจกรรมการประมวลผลข้อมูลส่วนบุคคลของบริษัทเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท
- ตรวจสอบ และอนุมัติแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของแต่ละหน่วยงานภายในบริษัท รวมถึงวิธีปฏิบัติในการจัดการความเสี่ยงที่อาจเกิดขึ้นจากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยบริษัท และแนวทางในการแก้ปัญหาเมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลขึ้นภายในบริษัท
- วิเคราะห์ ประเมิน และให้คำแนะนำแก่บุคลากรและหน่วยงานภายในบริษัทเกี่ยวกับการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยยะสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
- รายงานเหตุการณ์ต่างๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลภายในบริษัทไปยังประธานเจ้าหน้าที่บริหาร และบุคลากรระดับบริหาร
- ติดต่อประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นภายในบริษัทต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายในระยะเวลาที่กฎหมายกำหนด
- ศึกษารายละเอียดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กฎ ประกาศ คำสั่ง ระเบียบ หรือกฎหมายอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงติดตามการเปลี่ยนแปลงหรือแก้ไขเพิ่มเติมของกฎหมายคุ้มครองข้อมูลส่วนบุคคลดังกล่าว และแจ้งให้บุคลากรของบริษัททราบ
- อธิบาย สร้างความเข้าใจ และความตระหนักรู้แก่บุคลากรของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง
3. ตำแหน่งระดับผู้จัดการฝ่าย ผู้จัดการแผนก หัวหน้าแผนก
มีหน้าที่กำกับดูแลการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลภายในหน่วยงานของตนซึ่งอาจมีลักษณะที่แตกต่างกันไปตามแต่ละหน่วยงานโดยอาจแบ่งหน้าที่ได้ดังนี้
- อนุญาตให้บุคคลใดเข้าถึงข้อมูลส่วนบุคคลหรือมอบหมายหน้าที่ให้แก่พนักงานในการเป็นผู้รับผิดชอบในการดูแลข้อมูลส่วนบุคคลในส่วนต่างๆ ของหน่วยงานของตน
- จัดให้มีแนวปฏิบัติและการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในหน่วยงานของตน และสร้างความเข้าใจร่วมกันว่าข้อมูลส่วนบุคคลใดที่จำเป็นต้องเก็บและข้อมูลส่วนบุคคลใดที่ไม่จำเป็นต้องเก็บเพื่อการใช้ปฏิบัติงานภายในหน่วยงานของตน
- จัดให้มีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลในหน่วยงานของตนให้มีมาตรฐานตามกฎหมายและนโยบายนี้
- อนุมัติในการตอบสนองคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลและปรึกษาหารือกับหน่วยงานที่เกี่ยวข้องในเรื่องดังกล่าว รวมถึงหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัทและรายงานต่อฝ่ายบริหารเพื่อขออนุมัติหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยยะสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
- ปรึกษาหารือกับฝ่ายบริหารและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อกำหนดวิธีปฏิบัติที่เหมาะสม
- จัดให้มีการบันทึกการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของหน่วยงานของตนตามรายการที่กำหนดในนโยบายนี้
- รับรายงานจากผู้ใต้บังคับบัญชากรณีได้รับแจ้งถึงเหตุการละเมิดข้อมูลส่วนบุคคล และพิจารณาว่าการละเมิดนั้นอาจมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลหรือไม่ รวมถึงการปรึกษาหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัทและผู้บริหารเพื่อพิจารณาให้มีคำสั่งให้ดำเนินการใดๆ ที่เหมาะสมตามนโยบายนี้ต่อไป
4. ตำแหน่งระดับพนักงาน
มีหน้าที่ปฏิบัติตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้อย่างเคร่งครัดโดยเฉพาะในส่วนที่เป็นขั้นตอนในระดับการปฏิบัติการดังนี้
- เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายและนโยบายนี้ รวมถึงเข้าร่วมการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
- ปฏิบัติตามหน้าที่ที่ได้รับมอบหมายในการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ในเรื่องที่เกี่ยวกับการจัดการข้อมูลส่วนบุคคล เช่น ความปลอดภัย การส่ง โอนเปิดเผย หรือ การบันทึกข้อมูล ต่างๆ เป็นต้น
- แจ้งให้ผู้บังคับบัญชาทราบในกรณีที่เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใดๆ ในบริษัท หรือคำสั่งให้กระทำการใดๆ ดังกล่าวไม่ชอบด้วยกฎหมาย หรือเมื่อเห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใดๆ อาจก่อให้เกิดความเสี่ยงต่อการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
- แจ้งให้ผู้บังคับบัญชาทราบเพื่ออนุมัติในกรณีได้รับคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- แจ้งให้ผู้บังคับบัญชาทราบโดยทันทีในกรณีทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล ไม่ว่าการละเมิดนั้นจะเกิดจากการจงใจหรือประมาทเลินเล่อของบุคคลใดก็ตาม และไม่ว่าการละเมิดนั้นอาจจะมีหรือไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
5. ผู้รับจ้างและผู้ให้บริการซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท
บริษัทกำหนดให้ผู้รับจ้างและผู้ให้บริการซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและนโยบายนี้อย่างเคร่งครัดและต้องอยู่ภายใต้บังคับของสัญญาประมวลผลข้อมูลส่วนบุคคลที่ทำไว้กับบริษัทโดยมีหน้าที่ดังนี้
- เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายและนโยบายนี้ รวมถึงเข้าร่วมการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัทเมื่อมีการร้องขอ
- แจ้งให้บริษัททราบโดยไม่ชักช้าหากมีการละเมิดข้อมูลส่วนบุคคล
- สนับสนุนและช่วยเหลือบริษัทในการตอบสนองคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
การฝ่าฝืนกฎหมายและนโยบายนี้ของพนักงานอาจถือเป็นเหตุลงโทษทางวินัยได้ และการฝ่าฝืนกฎหมายหรือนโยบายนี้ของผู้รับจ้างหรือผู้ให้บริการซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท อาจถือว่าเป็นการผิดสัญญาที่มีกับบริษัทด้วยเช่นกัน หากการ ฝ่าฝืนหรือไม่ปฏิบัติตามดังกล่าวส่งผลกระทบทำให้เกิดความเสียหายแก่บริษัท บริษัทอาจถือให้เป็นเหตุเลิกจ้างหรือเลิกสัญญาได้ นอกจากนี้ยังอาจมีโทษทางอาญาซึ่งเป็นโทษปรับและจำคุกสำหรับผู้กระทำการแทนบริษัทที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย พนักงานและผู้ที่เกี่ยวข้องจึงต้องศึกษากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและนโยบายนี้ และปฏิบัติตามอย่างเคร่งครัด
บริษัทมีมาตรการรักษาความมั่นคงปลอดภัยเชิงนโยบายและเชิงเทคนิค เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และมีการทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด
เพื่อให้เจ้าของข้อมูลส่วนบุคคลตรวจสอบและสามารถขอใช้สิทธิได้ บริษัทมีการบันทึกการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ โดยมีรายการอย่างน้อย ดังนี้
- ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
- วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล
- ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
- ระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล
- สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขในการใช้สิทธิเข้าถึงข้อมูลส่วนบุคคล
- การใช้หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีที่เก็บข้อมูลส่วนบุคคลโดยอาศัยฐานทางกฎหมายอื่นที่ไม่ใช่ฐานขอความยินยอม
- การปฏิเสธคำขอหรือการคัดค้านการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
1. บริษัทสามารถโอนหรือส่งข้อมูลส่วนบุคคลไปประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
2. กรณีประเทศปลายทางมีมาตรฐานไม่เพียงพอ บริษัทสามารถโอนข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้ เป็นการปฏิบัติตามกฎหมาย
- ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ซึ่งได้รับรู้ถึงมาตรฐานที่ไม่เพียงพอของประเทศปลายทางแล้ว
- เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อดำเนินการตามคำร้องขอก่อนเข้าทำสัญญา
- เป็นการปฏิบัติตามสัญญาระหว่างบริษัทกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
- เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
3. กรณีมีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือกิจการเดียวกัน บริษัทได้จัดให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลสำหรับการส่งหรือโอนข้อมูลระหว่างกันในเครือกิจการเดียวกันที่ได้รับการตรวจสอบและรับรองจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
เมื่อมีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้นภายในบริษัท โดยที่เหตุละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล พนักงานและบุคลากรที่เกี่ยวข้องต้องประสานงานกันเพื่อดำเนินการให้ถูกต้องตามกฎหมาย โดยบริษัทจะแจ้งการละเมิดดังกล่าวแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง นับแต่ที่ได้ทราบเหตุ ในกรณีที่การละเมิดนั้นมีความเสี่ยงสูงที่จะเกิดผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะแจ้งเหตุแห่งการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางเยียวยาโดยไม่ชักช้าด้วย
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้อาจมีการแก้ไขเปลี่ยนแปลงได้ตามการเปลี่ยนแปลงของกฎหมาย และความเหมาะสมทางธุรกิจ
กรณีมีข้อสงสัยหรือคำถามเพิ่มเติมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือกรณีมีความประสงค์จะแจ้งเหตุแห่งการละเมิดข้อมูลส่วนบุคคล โปรดติดต่อ:
โทรศัพท์ 0-3271-9920 หรือ 0-3271-9900
E-mail: blc.dpo@bangkoklab.co.th
ประกาศความเป็นส่วนตัว (Privacy Notice)
ประกาศความเป็นส่วนตัว (สำหรับผู้สมัครงาน) บริษัท บางกอกแล็ป แอนด์ คอสเมติค จำกัด (มหาชน)
เพื่อเป็นการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่น ๆ ที่เกี่ยวข้อง รวมถึงกฎหมายฉบับแก้ไขเพิ่มเติมใด ๆ ในอนาคต (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) บริษัท บางกอกแล็ป แอนด์ คอสเมติค จำกัด (มหาชน) จึงจัดทำประกาศความเป็นส่วนตัวฉบับนี้ (“ประกาศ”) เพื่ออธิบายรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่าน โดยประกาศฉบับนี้จะครอบคลุมถึงท่านซึ่งเป็น ผู้สมัครงานกับบริษัท
นิยาม
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งอาจก่อให้เกิดการเลือกปฏิบัติโดยไม่เป็นธรรมต่อเจ้าของข้อมูลส่วนบุคคลหรือกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
“ฐานทางกฎหมาย” หมายถึง เหตุที่กฎหมายรองรับให้สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้ ทั้งนี้ ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
“ผู้สมัครงาน” หมายถึง บุคคลธรรมดาซึ่งแสดงความประสงค์จะเข้ารับการคัดเลือกหรือสัมภาษณ์งาน เพื่อทำสัญญากับบริษัทเป็นพนักงานประจำ พนักงานชั่วคราว รวมถึงพนักงานรับเหมาค่าแรง หรือบุคลากรในตำแหน่งอื่นใดที่ทำงานหรือปฏิบัติหน้าที่ใด ๆ ให้กับบริษัท และได้รับค่าจ้าง สวัสดิการ และค่าตอบแทนอื่น ไม่ว่าจะเรียกชื่ออย่างไรเพื่อตอบแทนการทำงาน ทั้งนี้ ไม่ว่าจะแสดงความประสงค์ด้วยตนเองมายังบริษัทโดยตรง หรือผ่านการดำเนินการของบริษัทจัดหางานภายนอก หรือองค์กรภายนอกอื่นใด
“บุคคลที่เกี่ยวข้องกับผู้สมัครงาน” หมายถึง ผู้รับรองความประพฤติ บุคคลอื่นซึ่งผู้สมัครงานได้ให้ข้อมูลไว้กับบริษัท รวมถึงแต่ไม่จำกัดเพียง บุคคลซึ่งผู้สมัครงานได้อ้างอิงไว้ในเอกสารสมัครงาน สมาชิกในครอบครัวของผู้สมัครงาน บุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉินเป็นต้น
ประเภทของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลของท่านตามที่ระบุในประกาศฉบับนี้ทั้งหมดหรือบางส่วน ทั้งนี้ ตามความจำเป็นเพื่อการดำเนินการตามวัตถุประสงค์ต่าง ๆของบริษัทที่แจ้งในประกาศฉบับนี้
ข้อมูลระบุตัวตนและข้อมูลติดต่อทั่วไป ได้แก่ คำนำหน้า ชื่อ ชื่อสกุล ชื่อเล่น อายุ เพศ วันเดือนปีเกิด สัญชาติ อาชีพ ที่อยู่ปัจจุบันหรือที่อยู่ตามทะเบียนบ้าน รูปภาพ ลายมือชื่อ สถานะความเป็นอยู่ สถานะการสมรส สถานะครอบครัว หมายเลขโทรศัพท์ อีเมลส่วนตัว ชื่อบัญชีผู้ใช้แอปพลิเคชันไลน์ เป็นต้น
ข้อมูลตามเอกสารอ้างอิง ได้แก่ ข้อมูลตามประวัติการสมัครงาน (Curriculum Vitae / Resume) ข้อมูลในใบสมัครงาน ข้อมูลเอกสารอื่น ๆ (เช่น กรณีมีการแนบเอกสารเพิ่มเติมที่เกี่ยวข้องกับตำแหน่งงานที่สมัคร) เป็นต้น
ข้อมูลเกี่ยวกับบุคคลอ้างอิงและสมาชิกครอบครัว ได้แก่ จำนวน คำนำหน้า ชื่อ ชื่อสกุล ความสัมพันธ์กับผู้สมัคร อายุ อาชีพ/ตำแหน่ง การศึกษา ที่อยู่ สถานที่ทำงาน ข้อมูลติดต่อของสมาชิกครอบครัวและบุคคลอ้างอิง เป็นต้น
ข้อมูลเกี่ยวกับการศึกษาและการฝึกอบรม ได้แก่ ประวัติการศึกษาและการฝึกอบรม หนังสือรับรองคุณวุฒิ ใบแสดงผลการศึกษาความสามารถด้านภาษา ความสามารถด้านคอมพิวเตอร์ ข้อมูลการอบรมและการทดสอบ กิจกรรมที่เข้าร่วมระหว่างศึกษา เป็นต้น
ข้อมูลเกี่ยวกับการทำงาน ได้แก่ ทักษะในการทำงาน ทักษะภาษา ความรู้พิเศษ ประสบการณ์และประวัติการทำงาน สถานที่ทำงานเก่าและปัจจุบัน ระยะเวลาการทำงานในอดีตถึงปัจจุบัน ตำแหน่งงานและเงินเดือนที่ต้องการ วันที่สมัครงาน เป็นต้น
ข้อมูลการประเมินผลการสัมภาษณ์งานโดยบริษัท ได้แก่ ผลการประเมินทักษะ ข้อคิดเห็นต่อตัวผู้สมัคร ผลการสัมภาษณ์ ข้อตกลงเกี่ยวกับการจ้างงาน เช่น ตำแหน่งงาน ระยะเวลาทดลองงาน เงินเดือน หรือเงื่อนไขอื่น ๆ ที่ตกลงเพื่อรับเข้าทำงาน เป็นต้น
ข้อมูลโทรทัศน์วงจรปิด ได้แก่ ภาพเคลื่อนไหวหรือภาพนิ่งที่บันทึกด้วยกล้องโทรทัศน์วงจรปิดของบริษัท
ข้อมูลที่ใช้ประกอบเป็นหลักฐานในการสมัครงาน ได้แก่ ข้อมูลที่ปรากฏในสำเนาบัตรประชาชน สำเนาใบขับขี่ สำเนาใบสำคัญการผ่านเกณฑ์ทหาร สำเนาหนังสือรับรองการทำงาน สำเนาหนังสือรับรองเงินเดือน สำเนาสลิปเงินเดือน สำเนาสมุดบัญชีธนาคาร ข้อมูลทะเบียนบ้าน ข้อมูลทะเบียนสมรส สำเนาหลักฐานการเปลี่ยนชื่อ สัญญาจ้างและเอกสารที่เกี่ยวข้อง เป็นต้น
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ได้แก่ ศาสนา หมู่โลหิต เชื้อชาติ ประวัติอาชญากรรม ข้อมูลสุขภาพ เช่น ความทุพพลภาพ น้ำหนักและส่วนสูง โรคประจำตัว ผลการตรวจสุขภาพ (ใบรับรองแพทย์) อุณหภูมิร่างกาย เป็นต้น
หมายเหตุ กรณีที่ท่านให้รายละเอียดของบุคคลที่สามอื่นใด หรือกรณีข้อมูลส่วนบุคคลของบุคคลที่สามปรากฏในเอกสารต่าง ๆ ที่บริษัทเก็บรวบรวมจากท่านตามประกาศฉบับนี้ ท่านมีหน้าที่ต้องแจ้งให้บุคคลที่สามดังกล่าวทราบถึงกรณีที่ท่านนำข้อมูลของบุคคลดังกล่าวมาเปิดเผยต่อบริษัท รวมถึงแจ้งรายละเอียดในประกาศฉบับนี้ที่เกี่ยวข้องกับบุคคลดังกล่าว
แหล่งที่มาของข้อมูลส่วนบุคคล
บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากแหล่งที่มาทั้งโดยทางตรงและทางอ้อมดังต่อไปนี้
ข้อมูลส่วนบุคคลของผู้สมัครงาน
จากตัวท่านเองโดยตรง โดยผ่านช่องทางใดช่องทางหนึ่งดังต่อไปนี้
- ผ่านทางวาจา ได้แก่ กรณีการพูดคุยต่อหน้า หรือทางโทรศัพท์ เป็นต้น
- ผ่านทางเอกสาร ได้แก่ แบบฟอร์มใบสมัครงาน จดหมายแนะนำตัว ประวัติย่อการทำงาน (Curriculum Vitae / Resume) หรือเอกสารอื่น ๆ ที่เกี่ยวข้องกับกระบวนการสมัครงานของบริษัท เป็นต้น
- ผ่านทางช่องทางการติดต่ออื่น ได้แก่ อีเมล โทรสาร ช่องทางการติดต่อออนไลน์ เช่น เว็บไซต์จัดหางานที่ท่านได้ให้ข้อมูลส่วนบุคคลของท่านไว้สำหรับการสมัครงานในตำแหน่งที่บริษัทเปิดรับสมัคร เป็นต้น
จากแหล่งอื่น ๆ หรือบุคคลที่สาม ได้แก่ บุคลากรของบริษัทที่ท่านได้ฝากให้ช่วยเหลือในการติดต่อประสานงานเรื่องการสมัครงานของท่าน องค์กรนายหน้าจัดหางาน บุคคลที่ท่านได้อ้างอิงในใบสมัครงานเพื่อสอบถามข้อมูลเกี่ยวกับการทำงานของท่าน หรือองค์กรอื่นที่ท่านได้เคยหรือได้ทำงานให้ องค์กรของรัฐ บุคคลที่เป็นนายจ้างของท่านในกรณีที่ท่านสมัครเป็นพนักงานรับเหมาค่าแรงของบริษัท เป็นต้น
ข้อมูลส่วนบุคคลของบุคคลที่เกี่ยวข้องกับผู้สมัครงาน
จากแหล่งอื่น ๆ หรือบุคคลที่สาม จากแหล่งอื่น ๆ หรือบุคคลที่สาม ได้แก่ ผู้สมัครงานกับบริษัทซึ่งมีความสัมพันธ์เกี่ยวข้องกับท่าน
วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลของท่านเพื่อนำไปใช้และ/หรือเปิดเผยภายใต้วัตถุประสงค์และโดยอาศัยฐานทางกฎหมายตามที่ปรากฏในประกาศฉบับนี้เท่านั้น หากบริษัทมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลเพิ่มเติมหรือใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นใดนอกเหนือจากที่ปรากฏในประกาศนี้ บริษัทจะแจ้งให้ท่านทราบถึงการเก็บรวบรวมข้อมูลส่วนบุคคลของท่านและ/หรือแจ้งให้ทราบถึงวัตถุประสงค์ใหม่ในการเก็บรวบรวมข้อมูลดังกล่าวอีกครั้ง รวมถึงบริษัทจะขอความยินยอมจากท่านในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใหม่ในกรณีที่กฎหมายกำหนดให้บริษัทต้องได้รับความยินยอม ตามหลักเกณฑ์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลของผู้สมัครงาน
วัตถุประสงค์ของการเก็บรวบรวม
1. การพิจารณาใบสมัคร การนำข้อมูลมาใช้และเปิดเผยเป็นการภายในบริษัทเพื่อใช้ประกอบการสัมภาษณ์ การประเมินความสามารถ คุณสมบัติ และความเหมาะสมกับตำแหน่งที่ผู้สมัครได้ลงสมัครไว้ ตลอดจนตำแหน่งอื่น ๆ ที่บริษัทเห็นว่าเหมาะสม รวมถึง การติดต่อเพื่อนัดสัมภาษณ์ การแจ้งผลการสัมภาษณ์และการเสนอตำแหน่งงาน เพื่อการเข้าทำสัญญาจ้างกับท่าน
ข้อมูลส่วนบุคคลทั่วไป
- เพื่อการปฏิบัติตามสัญญาหรือเข้าทำสัญญา
- เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
- ขอความยินยอมโดยชัดแจ้ง
2. ตรวจสอบประวัติของผู้สมัครงานจากบุคคลหรือองค์กรภายนอก รวมถึงการตรวจสอบคุณสมบัติตามกฎหมายที่เกี่ยวข้องกับการทำงานของท่าน เช่น กฎหมายแรงงาน และอาชีพที่ต้องมีเงื่อนไขตามที่กฎหมายกำหนด เป็นต้น และดำเนินการช่วยเหลือให้ท่านได้มาซึ่งคุณสมบัติดังกล่าว เช่น การยื่นขอใบประกอบวิชาชีพเฉพาะทาง การยื่นขอวีซ่า เป็นต้น รวมถึงการตรวจสอบและจัดเก็บข้อมูลสุขภาพและข้อมูลอื่นที่จำเป็นต่อการพิจารณาตรวจสอบคุณสมบัติและความเหมาะสมกับตำแหน่งงานของท่าน เพื่อวัตถุประสงค์ในการคุ้มครองแรงงานและสวัสดิภาพในการทำงาน
ข้อมูลส่วนบุคคลทั่วไป
- เพื่อปฏิบัติตามกฎหมายที่ใช้บังคับกับบริษัท
- เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
- เพื่อความจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ตามที่กฎหมายกำหนด (กรณีมีกฎหมายกำหนด เช่น เพื่อการประเมินความสามารถในการทำงานของพนักงาน เพื่อการคุ้มครองแรงงาน)
- ขอความยินยอมโดยชัดแจ้ง
3. การบันทึกหรือเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เพื่อใช้ในการพิจารณาและติดต่อกับท่าน เมื่อบริษัทเปิดรับสมัครในตำแหน่งงานที่ท่านได้สมัครไว้หรือตำแหน่งงานอื่นใดในอนาคตซึ่งบริษัทเห็นว่าเหมาะสมกับท่าน (เฉพาะกรณีที่ท่านไม่ผ่านการสัมภาษณ์งานหรือไม่เข้าทำสัญญาจ้างกับบริษัทด้วยเหตุผลประการอื่น)
ข้อมูลส่วนบุคคลทั่วไป
- เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
- ขอความยินยอมโดยชัดแจ้ง
4. การรักษาความปลอดภัยภายในบริเวณบริษัท เช่น การสอดส่องดูแลบริเวณภายในบริษัทด้วยกล้องโทรทัศน์วงจรปิด เป็นต้น
ข้อมูลส่วนบุคคลทั่วไป
- เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท
5. การตรวจสอบข้อเท็จจริงและบันทึกข้อมูลด้านสุขภาพของท่าน เช่น การเก็บรวบรวมข้อมูลอุณหภูมิร่างกายของท่าน เป็นต้น เพื่อใช้เป็นวิธีป้องกันเชื้อโรคหรือโรคติดต่อซึ่งอาจส่งผลต่อการแพร่กระจายเชื้อในวงกว้าง รวมไปถึงในกรณีที่มีเหตุฉุกเฉินต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลที่เข้ามาภายในบริษัท ทั้งนี้ยังรวมไปถึงการเปิดเผยข้อมูลไปยังองค์กรภายนอกเพื่อจุดประสงค์ดังกล่าว เช่น เปิดเผยแก่กรมควบคุมโรค สถาบันการแพทย์และหน่วยงานรัฐที่เกี่ยวข้องอื่น ๆ
ข้อมูลส่วนบุคคลทั่วไป
- เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท
- เพื่อปฏิบัติตามกฎหมายที่ใช้บังคับกับบริษัท
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย และสุขภาพของบุคคล
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่านกรณีที่ท่านไม่สามารถให้ความยินยอมได้ ไม่ว่าจะด้วยเหตุใดก็ตาม
- เพื่อความจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ตามที่กฎหมายกำหนด (เช่น กฎหมายเกี่ยวกับประโยชน์สาธารณะด้านสาธารณสุข)
- ขอความยินยอมโดยชัดแจ้ง (กรณีไม่มีกฎหมายกำหนดให้บริษัทสามารถเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวได้โดยไม่ต้องได้รับความยินยอม)
6. เพื่อการดำเนินการของบริษัทในงานด้านการควบคุมคุณภาพ การตรวจสอบภายใน การควบคุมภายใน การตรวจสอบมาตรฐานระบบการจัดการบริหารงานคุณภาพของบริษัท รวมไปถึงการเปิดเผยข้อมูลให้แก่แผนกอื่นภายในบริษัทและแก่บริษัทภายนอกที่ได้รับการรับรองให้ตรวจสอบมาตรฐานระบบการจัดการบริหารงานคุณภาพของบริษัท
ข้อมูลส่วนบุคคลทั่วไป
- เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท (สำหรับกรณีการควบคุมภายในและงานด้านการควบคุมคุณภาพ)
- ขอความยินยอมโดยชัดแจ้ง (สำหรับกรณีการตรวจสอบมาตรฐานระบบการจัดการบริหารงานคุณภาพของบริษัท)
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
- ขอความยินยอมโดยชัดแจ้ง
7. การปกป้องสิทธิโดยชอบด้วยกฎหมายของบริษัท หรือโต้แย้งข้อกล่าวหาที่มีต่อบริษัท เช่น การดำเนินคดีตามกฎหมาย การริเริ่มคดี การต่อสู้คดี การระงับข้อพิพาทนอกศาล และการดำเนินการอื่น ๆ เพื่อปกป้องสิทธิโดยชอบด้วยกฎหมายของบริษัท หรือโต้แย้งข้อกล่าวหาที่มีต่อบริษัทตามที่มีกฎหมายอนุญาต
ข้อมูลส่วนบุคคลทั่วไป
- เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
- เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
ข้อมูลส่วนบุคคลของบุคคลที่เกี่ยวข้องกับผู้สมัครงาน
1. การพิจารณาตรวจสอบประวัติและคุณสมบัติของผู้สมัครงาน ซึ่งอาจรวมถึงการนำข้อมูลมาใช้และเปิดเผยเป็นการภายในบริษัทเพื่อใช้ประกอบการสัมภาษณ์ การรับรองความประพฤติ การประเมินความสามารถ คุณสมบัติ และความเหมาะสมกับตำแหน่งที่ผู้สมัครได้ลงสมัครไว้ ตลอดจนตำแหน่งอื่น ๆ ที่บริษัทเห็นว่าเหมาะสม
ข้อมูลส่วนบุคคลทั่วไป
- เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท และผู้สมัครงาน
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
- ขอความยินยอมโดยชัดแจ้ง
2. การติดต่อประสานงานกับท่านในกรณีมีเหตุการณ์ฉุกเฉินที่อาจเกิดกับผู้สมัครงานภายในบริเวณของบริษัท หรือระหว่างปฏิบัติหน้าที่ให้บริษัท (กรณีที่ผู้สมัครงานเข้าทำสัญญาจ้างเป็นพนักงานของบริษัท)
ข้อมูลส่วนบุคคลทั่วไป
- เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท และผู้สมัครงาน
3. การบันทึกหรือเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เพื่อใช้ประกอบในการพิจารณาและติดต่อกับผู้สมัครงาน เมื่อบริษัทเปิดรับสมัครในตำแหน่งงานที่ผู้สมัครงานได้สมัครไว้หรือตำแหน่งงานอื่นใดในอนาคตซึ่งบริษัทเห็นว่าเหมาะสมกับผู้สมัครงาน (เฉพาะกรณีที่ผู้สมัครงานไม่ผ่านการสัมภาษณ์งานหรือไม่เข้าทำสัญญาจ้างกับบริษัทด้วยเหตุผลประการอื่น)
ข้อมูลส่วนบุคคลทั่วไป
- เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท และผู้สมัครงาน
4. การบันทึกหรือเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เพื่อเป็นข้อมูลประกอบในทะเบียนประวัติของพนักงาน และดำเนินการใด ๆ เพื่อการให้สวัสดิการกับพนักงาน (กรณีที่ผู้สมัครงานเข้าทำสัญญาจ้างเป็นพนักงานของบริษัท)
ข้อมูลส่วนบุคคลทั่วไป
- เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท และผู้สมัครงาน
5. การปกป้องสิทธิโดยชอบด้วยกฎหมายของบริษัท หรือโต้แย้งข้อกล่าวหาที่มีต่อบริษัท เช่น การดำเนินคดีตามกฎหมาย การริเริ่มคดี การต่อสู้คดี การระงับข้อพิพาทนอกศาล และการดำเนินการอื่น ๆ เพื่อปกป้องสิทธิโดยชอบด้วยกฎหมายของบริษัท หรือโต้แย้งข้อกล่าวหาที่มีต่อบริษัทตามที่มีกฎหมายอนุญาต
ข้อมูลส่วนบุคคลทั่วไป
- เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท และผู้สมัครงาน
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
- เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
ผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลของผู้สมัครงาน
บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลของท่านเพื่อพิจารณาคุณสมบัติและความเหมาะสมของท่านในการเข้าทำสัญญาจ้างกับบริษัทซึ่งในกรณีที่ท่านไม่ให้ข้อมูลส่วนบุคคลที่จำเป็นแก่บริษัท บริษัทอาจไ