นโยบายการคุ้มครองข้อมูล

บริษัท ปตท. น้ำมันและการค้าปลีก จำกัด (มหาชน) ("บริษัท" หรือ "เรา") ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของบุคคคลใด ๆ ซึ่งทำธุรกรรม มีส่วนได้เสีย หรือมีความสัมพันธ์อื่นใดกับบริษัท ซึ่งรวมถึงแต่ไม่จำกัดเพียงบุคคลดังต่อไปนี้

  1. ก.  ลูกค้าและบุคคลที่เกี่ยวข้องของลูกค้า ซึ่งรวมถึงแต่ไม่จำกัดเพียง
    • ลูกค้าบุคคลธรรมดา ซึ่งรวมถึง ผู้ใช้ผลิตภัณฑ์ สินค้า และบริการของบริษัท ทั้งที่เป็น ผู้ที่เคยเป็นลูกค้า ลูกค้าปัจจุบัน และผู้ที่อาจเป็นลูกค้าในอนาคต
    • บุคคลธรรมดาที่เกี่ยวข้องกับลูกค้าองค์กร ซึ่งรวมถึง พนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ผู้ถือหุ้น บุคคลผู้มีอำนาจ กรรมการ ตัวแทน หรือบุคคลธรรมดาอื่น ๆ ที่เกี่ยวข้องกับลูกค้าองค์กร
    • บุคคลที่เกี่ยวข้องของลูกค้า ซึ่งรวมถึง บุคคลธรรมดาใด ๆ ที่เราได้รับข้อมูลส่วนบุคคลมา (เช่น ผู้ติดต่อในกรณีฉุกเฉิน คู่สมรส บุพการี ผู้สืบสันดาน ญาติ บุตร นายจ้าง ตัวแทน ผู้รับประโยชน์ หรือบุคคลผู้อ้างอิง)
  2. ข.  พนักงาน ซึ่งรวมถึง ผู้สมัครงาน ผู้เข้ารับการสัมภาษณ์งาน พนักงานปัจจุบัน อดีตพนักงาน พนักงานภายนอก (outsource) พนักงานที่ไปปฏิบัติงานที่องค์กรอื่น พนักงานที่เกษียณอายุ กรรมการ และ/หรือ บุคคลที่ได้รับมอบหมายให้กระทำการแทน
  3. ค.  พันธมิตรทางธุรกิจ ซึ่งรวมถึง บุคลากร บุคคลผู้ได้รับมอบอำนาจ กรรมการ ผู้ถือหุ้น และผู้ติดต่ออื่น ๆ ของพันธมิตรทางธุรกิจ
  4. ง.  บุคคลอื่น ๆ ซึ่งรวมถึง ผู้มาติดต่อ บุคคลใด ๆ ที่เข้ามาในพื้นที่ที่มีการเฝ้าดูแลผ่านกล้องโทรทัศน์วงจรปิด ผู้ใช้บริการลานจอดรถยนต์ (รวมทั้งผู้ที่เข้าไปยังพื้นที่ลานจอดรถยนต์เพื่อการขนส่งสินค้าและผลิตภัณฑ์) ผู้เข้าร่วมการฝึกอบรม ผู้เข้าร่วมงานนิทรรศการ มหกรรม และงานนอกสถานที่ของบริษัท ผู้ถือหุ้น ผู้รับมอบฉันทะ หรือผู้รับมอบอำนาจจากบุคคลดังกล่าว

เรามุ่งมั่นที่จะจัดให้มีความเป็นธรรม ความชอบด้วยกฎหมาย และความโปร่งใสในการใช้ข้อมูลส่วนบุคคลของเราตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

นโยบายการคุ้มครองข้อมูลฉบับนี้ ("นโยบาย") มีวัตถุประสงค์เพื่ออธิบายถึงวิธีการที่เราจัดการข้อมูลส่วนบุคคล และเพื่อกำหนดกรอบและทิศทางสำหรับการดำเนินการของบริษัทโดยสอดคล้องกับการกำกับดูแลกิจการที่ดี ซึ่งรวมถึงโครงสร้าง ตลอดจนนโยบายและแนวปฏิบัติภายในใด ๆ ของบริษัทอันเกี่ยวเนื่องกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งถือเป็นส่วนหนึ่งของนโยบายฉบับนี้


โปรดทราบว่า นโยบายฉบับนี้ไม่ได้กำหนดกฎเกณฑ์ ข้อปฏิบัติ หรือข้อห้ามทั้งหมดอย่างครบถ้วน และไม่ใช่สิ่งทดแทนความรับผิดชอบในการใช้วิจารณญาณทางธุรกิจที่ดีและความระมัดระวังที่เหมาะสมในการดูแลข้อมูลส่วนบุคคล ดังนั้น บุคลากรของบริษัทควรขอคำแนะนำจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีความกังวลเป็นพิเศษ หรือเป็นกรณีที่ไม่ได้กำหนดไว้โดยเฉพาะในนโยบายฉบับนี้

1. ขอบเขต

นโยบายฉบับนี้ ซึ่งรวมถึงโครงสร้าง นโยบาย และแนวปฏิบัติภายในใด ๆ ของบริษัทอันเกี่ยวเนื่องกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งถือเป็นส่วนหนึ่งของนโยบายฉบับนี้ มีผลใช้บังคับกับการดำเนินงานทั้งหมดของบริษัท และพนักงาน ผู้ปฏิบัติงาน ผู้รับจ้าง ตัวแทน ผู้แทน กรรมการ ผู้บริหาร ตลอดจนบุคลากรประเภทอื่น ๆ ของบริษัท นอกจากนี้ บริษัทยังกำหนดให้พันธมิตรทางธุรกิจ คู่ค้า ผู้ให้บริการของบริษัทที่ประมวลผลหรือจัดการกับข้อมูลส่วนบุคคลโดยประการอื่นใดในนามบริษัท รวมทั้งพนักงาน ผู้ปฏิบัติงาน ผู้รับจ้าง ตัวแทน ผู้แทน กรรมการ ผู้บริหาร ตลอดจนบุคลากรประเภทอื่น ๆ ของบุคคลดังกล่าว ถือปฏิบัติตามนโยบายโดยสัญญาด้วย

ทั้งนี้ นโยบายฉบับนี้จะไม่ก่อให้เกิดสิทธิใด ๆ แก่บุคลากร หรือสิทธิใด ๆ นอกเหนือจากหน้าที่ของบริษัทภายใต้กฎหมายที่ใช้บังคับ รวมทั้งไม่ได้ก่อให้เกิดสิทธิหรือสิทธิพิเศษใด ๆ แก่บุคคลภายนอก

2. บทนิยาม

ในนโยบายฉบับนี้

กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หมายถึง กฎหมาย กฎระเบียบ และข้อกำหนดทางกฎหมายอื่นใดทั้งปวง ซึ่งรวมถึงแต่ไม่จำกัดเพียงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่ออกภายใต้พระราชบัญญัติฯ ดังกล่าว แนวทางและการตีความของหน่วยงานราชการ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล (ตามที่มีการแก้ไขและ/หรือเปลี่ยนแปลงเป็นครั้งคราว)

การประมวลผล หมายถึง การดำเนินการหรือชุดการดำเนินการที่กระทำกับข้อมูลส่วนบุคคล ทั้งโดยอัตโนมัติและไม่อัตโนมัติ เช่น การเก็บรวบรวม การบันทึก การจัดการ การจัดเก็บ การปรับเปลี่ยนหรือเปลี่ยนแปลง การเรียกคืน การปรึกษา การใช้ การเปิดเผย การเผยแพร่หรือการทำให้เข้าถึงได้โดยประการอื่น การโอนไปต่างประเทศ การปรับแนวหรือการรวม การขัดขวาง การลบ หรือการทำลายซึ่งข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคล หมายถึง ข้อมูลใด ๆ เกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

เจ้าของข้อมูลส่วนบุคคล หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลบ่งชี้ไปถึง เช่น ลูกค้า พันธมิตรทางธุรกิจ ผู้ให้บริการ และบุคลากรของบริษัท

ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

3. หลักการทั่วไปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

การดำเนินธุรกิจของบริษัทจะต้องเป็นไปตามหลักการทั่วไปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลดังต่อไปนี้

  1. 1. การประมวลผลที่ชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส (Lawful, Fair and Transparent Processing)

    บริษัทจะใช้ข้อมูลส่วนบุคคลเฉพาะแต่ในทางที่ชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส

    บริษัทจะปฏิบัติตามกฎหมายที่ใช้บังคับ รวมถึงกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล บริษัทยังมุ่งมั่นที่จะช่วยให้เจ้าของข้อมูลส่วนบุคคลเข้าใจว่าบริษัทเก็บรวบรวมข้อมูลส่วนบุคคลประเภทใดบ้าง และบริษัทใช้ข้อมูลส่วนบุคคลเหล่านั้นอย่างไร อีกทั้งเจ้าของข้อมูลส่วนบุคคลมีทางเลือกที่เกี่ยวข้องใดบ้าง โดยดำเนินการผ่านการแจ้งนโยบายความเป็นส่วนตัว (Privacy Notice) ที่เกี่ยวข้องสำหรับเจ้าของข้อมูลส่วนบุคคลแต่ละประเภทในรูปแบบที่ชัดเจนและเข้าใจง่าย ทั้งนี้ บริษัทมีการทบทวนนโยบายความเป็นส่วนตัวอยู่เป็นประจำเพื่อให้นโยบายความเป็นส่วนตัวดังกล่าวเป็นปัจจุบัน และสะท้อนถึงการดำเนินงานของบริษัทในปัจจุบัน

  2. การจำกัดวัตถุประสงค์ (Purpose Limitation)

    บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลเพียงเพื่อวัตถุประสงค์ที่ชัดเจน ชอบด้วยกฎหมาย และมีการระบุไว้ล่วงหน้าเท่านั้น โดยบริษัทจะเก็บข้อมูลเพียงเท่าที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์เหล่านั้น และบริษัทจะประมวลผลข้อมูลส่วนบุคคลเพียงเฉพาะในทางที่ได้สัดส่วนกับเป้าหมายที่ชัดเจนเท่านั้น

  3. ความถูกต้องของข้อมูล (Data Accuracy)

    เป็นปัจจุบัน ไม่ก่อให้เกิดความเข้าใจผิด และเกี่ยวข้องกับวัตถุประสงค์ที่ข้อมูลส่วนบุคคลนั้นถูกเก็บรวบรวมมา

  4. การเก็บรักษาข้อมูล (Data Retention)

    บริษัทเก็บรักษาข้อมูลส่วนบุคคลในรูปแบบที่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้เพียงเท่าที่ข้อมูลนั้นมีความจำเป็นสำหรับวัตถุประสงค์ที่เราใช้ข้อมูลนั้นเท่านั้น

  5. สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights)

    บริษัทมุ่งมั่นที่จะดูแลและปฏิบัติตามสิทธิ ของเจ้าของข้อมูลส่วนบุคคลให้เป็นไปตามที่กำหนดไว้ในกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และในกระบวนการจัดการสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right Management Procedure) ของบริษัท

  6. ความมั่นคงปลอดภัยของข้อมูล (Data Security)

    บริษัทจัดให้มีมาตรการเชิงเทคนิค มาตรการเชิงองค์กร ตลอดจนมาตรการทางกายภาพ ในการรักษาความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคลทั่วทั้งระบบต่าง ๆ ไม่ว่าเวลาใด ทั้งนี้ ตามรายละเอียดที่กำหนดไว้ในกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และในนโยบายการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของบริษัท

  7. การโอนข้อมูลส่วนบุคคลไปต่างประเทศ (Cross-Border Transfer)

    ในกรณีที่บริษัทมีความจำเป็นต้องโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทยึดมั่นในการทำให้มั่นใจว่ามีมาตรการป้องกันที่เพียงพอตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด สำหรับการคุ้มครองข้อมูลส่วนบุคคลที่บริษัทโอนไปยังประเทศปลายทางที่มีมาตรฐานในเรื่องการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ

  8. ความรับผิดชอบในการคุ้มครองข้อมูล (Data Protection Accountability)

    บริษัท รวมถึงบุคลากรทุกคนของบริษัท มีหน้าที่รับผิดชอบในการยึดถือหลักการทั่วไปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และการเคารพสิทธิในความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลทุกประเภท ทั้งนี้ เพื่อสร้างความเชื่อมั่นแก่เจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้อง และเพื่อให้เป็นไปตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

4. หน้าที่และความรับผิดชอบของส่วนงานและบุคลากร

ส่วนงานทุกส่วนและบุคลากรทุกคนของบริษัทมีบทบาทสำคัญในการบริหารจัดการความเสี่ยงด้านความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคล โดยส่วนงานและบุคลากรดังต่อไปนี้มีหน้าที่และความรับผิดชอบที่เฉพาะเจาะจง ดังนี้

  1. จ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีหน้าที่และความรับผิดชอบอย่างน้อยดังต่อไปนี้
    • ให้คำแนะนำแก่บริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท รวมทั้งบุคลากรของบริษัทหรือของผู้ประมวลผลข้อมูลส่วนบุคคล เกี่ยวกับการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
    • ตรวจสอบการดำเนินงานของบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท รวมทั้งบุคลากรของบริษัทหรือของผู้ประมวลผลข้อมูลส่วนบุคคล เกี่ยวกับกิจกรรมที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล เพื่อให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
    • ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท รวมถึงบุคลากรของบริษัทหรือของผู้ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และ
    • รักษาความลับของกิจกรรมที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของบริษัท
  2. ผู้ปฏิบัติงานสนับสนุนด้านการคุ้มครองข้อมูลส่วนบุคคล มีหน้าที่และความรับผิดชอบในการช่วยเหลือและสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และปฏิบัติหน้าที่ตามที่กำหนดไว้โดยเฉพาะในนโยบาย รวมถึงโครงสร้าง นโยบาย และกระบวนการภายในใด ๆ ของบริษัทอันเกี่ยวเนื่องกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงหน้าที่และความรับผิดชอบดังต่อไปนี้
    • ให้คำแนะนำแก่บริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท รวมทั้งบุคลากรของบริษัทหรือของผู้ประมวลผลข้อมูลส่วนบุคคล เกี่ยวกับการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ ภายใต้คำแนะนำของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
    • ตรวจสอบการดำเนินงานของบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท รวมทั้งบุคลากรของบริษัทหรือของผู้ประมวลผลข้อมูลส่วนบุคคล เกี่ยวกับกิจกรรมที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล เพื่อให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
    • ติดตามการแก้ไขเปลี่ยนแปลงกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และพิจารณาดำเนินการหรือประสานงานให้มีการดำเนินการที่จำเป็นเพื่อตอบสนองต่อการแก้ไขเปลี่ยนแปลงดังกล่าว
    • รักษาความลับของกิจกรรมที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของบริษัท
    • ให้ความรู้แก่บุคลากรของบริษัทเกี่ยวกับการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
  3. ส่วนงานซึ่งมีการประมวลผลข้อมูลส่วนบุคคล มีหน้าที่และความรับผิดชอบในการดูแลและบริหารจัดการข้อมูลส่วนบุคคล รวมถึงสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล และการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในความรับผิดชอบของส่วนงานนั้น ๆ โดยอาจขอคำปรึกษาจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่จำเป็น
  4. พนักงาน เจ้าหน้าที่ ผู้แทน บุคคลผู้มีอำนาจ กรรมการ ตัวแทน หรือบุคคลากรประเภทอื่น ๆ ของบริษัท มีหน้าที่และความรับผิดชอบในการรักษาไว้ซึ่งความลับของข้อมูลส่วนบุคคลซึ่งตนใช้งาน และจัดการกับข้อมูลส่วนบุคคลดังกล่าวอย่างเหมาะสมและมั่นคงปลอดภัยตามที่กำหนดไว้ในกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และนโยบายของบริษัท
5. การบริหารจัดการความเสี่ยงองค์กร

การคุ้มครองความเป็นส่วนตัวนั้นรวมอยู่ในการบริหารจัดการความเสี่ยงองค์กร ซึ่งครอบคลุมการจัดให้มีการตรวจสอบการปฏิบัติตามนโยบายฉบับนี้ รวมถึงโครงสร้าง นโยบาย และกระบวนการภายในใด ๆ ของบริษัทอันเกี่ยวเนื่องกับการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ทั้งเป็นการภายใน และการตรวจสอบโดยผู้ตรวจสอบภายนอก เป็นระยะ เพื่อประเมินและระบุกรณีใด ๆ ที่เกิดขึ้น ซึ่งรวมถึงกระบวนการดังต่อไปนี้

  1. 1. การประเมินความเสี่ยงด้านความเป็นส่วนตัวในเชิงกลยุทธ์ (Strategic privacy risk assessment)

    เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ร่วมกับผู้ปฏิบัติงานสนับสนุนด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัทต้องดำเนินการตรวจสอบการปฏิบัติตามและประเมินความเสี่ยงในเชิงกลยุทธ์ รวมตลอดถึงการจัดให้มีการประเมินความเสี่ยงโดยผู้ตรวจสอบภายนอก โดยพิจารณาถึงการเปลี่ยนแปลงที่เกิดขึ้นต่อการประกอบธุรกิจและเทคโนโลยีที่เกี่ยวข้อง ตลอดจนกฎหมายที่ใช้บังคับ เพื่อประเมินต้นเหตุของความเสี่ยงด้านความเป็นส่วนตัวในเชิงกลยุทธ์ ทั้งนี้ ผลการประเมินความเสี่ยงดังกล่าวจะถูกนำมาใช้ในการจัดทำแผนการลดความเสี่ยง หรือแผนการปฏิบัติตามกฎหมายหรือกฎระเบียบที่ใช้บังคับสำหรับในปีถัดไปของบริษัท

  2. 2. การบริหารความเสี่ยงด้านความเป็นส่วนตัวในเชิงการดำเนินงาน (Operational privacy risk management)

    ความเสี่ยงด้านความเป็นส่วนตัวที่เกี่ยวข้องกับการดำเนินธุรกิจของบริษัทจะถูกประเมินผ่านการบริหารความเสี่ยงด้านความเป็นส่วนตัวเชิงการดำเนินงาน ซึ่งส่วนสำคัญของการบริหารความเสี่ยงดังกล่าว รวมถึง

    • การตรวจสอบและระบุความเสี่ยงด้านความเป็นส่วนตัวที่สำคัญ
    • การจัดให้มีและการนำมาตรการควบคุมเพื่อจัดการกับความเสี่ยงด้านความเป็นส่วนตัวที่สำคัญไปใช้
    • การทดสอบมาตรการควบคุมและการระบุความบกพร่อง

    เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ร่วมกับผู้ปฏิบัติงานสนับสนุนด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัทจะดำเนินการบริหารความเสี่ยงด้านความเป็นส่วนตัวในเชิงการดำเนินงาน ตลอดจนการ ตรวจสอบ การระบุ การประเมิน และการบรรเทาความเสี่ยงด้านความเป็นส่วนตัว รวมถึงการจัดให้มีการตรวจประเมินโดยผู้ตรวจสอบภายนอก และการทดสอบมาตรการควบคุมตามสมควร โดยเป็นหน้าที่ของส่วนงานต่าง ๆ หรือบุคลากรที่เกี่ยวข้องในการจัดการหรือให้ความช่วยเหลือหรือสนับสนุนในการจัดการ

  3. 3. การบริหารความเสี่ยงด้านความเป็นส่วนตัวของพันธมิตรทางธุรกิจ

    การบริหารความเสี่ยงด้านความเป็นส่วนตัวสำหรับพันธมิตรทางธุรกิจของบริษัทจะถูกควบคุมโดยความตกลงกับพันธมิตรทางธุรกิจ และการเฝ้าดูและตรวจสอบพันธมิตรทางธุรกิจ

    เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ร่วมกับผู้ปฏิบัติงานสนับสนุนด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัทจะทำให้มั่นใจว่า ได้มีการจัดให้มีซึ่งมาตรการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการกำหนดหน้าที่ตามสัญญาแก่พันธมิตรทางธุรกิจในการคุ้มครองข้อมูลส่วนบุคคลตามความเหมาะสม

    นอกจากนี้ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ร่วมกับผู้ปฏิบัติงานสนับสนุนด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัทจะให้ความช่วยเหลือและสนับสนุนส่วนงานที่เกี่ยวข้องเมื่อมีการร้องขอ เพื่อการดำเนินการสอบทานทางธุรกิจ (Due diligence) ของพันธมิตรทางธุรกิจที่ดำเนินการในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัทตามความเหมาะสม เพื่อให้มั่นใจว่าการประเมินความเสี่ยงด้านความเป็นส่วนตัวนั้นถูกต้องก่อนขั้นตอนเข้าทำความตกลงใด ๆ กับพันธมิตรทางธุรกิจดังกล่าว

  4. 4. การปฏิบัติตามกฎหมายที่ใช้บังคับ

    บริษัทจะปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและจะทำให้มั่นใจว่ามีการคำนึงถึงกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลตลอดการประกอบธุรกิจของบริษัท

  5. 5. การจดบันทึกการดำเนินการที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

    โดยการสนับสนุนของส่วนงาน เกี่ยวข้อง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ร่วมกับผู้ปฏิบัติงานสนับสนุนด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัท จะจัดให้มีและรักษาไว้ซึ่งบันทึกเกี่ยวกับการตัดสินใจและการกระทำต่าง ๆ ที่ได้กระทำลงเกี่ยวกับการบริหารความเสี่ยงด้านความเป็นส่วนตัว และการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ เพื่อประโยชน์ในการให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานกำกับดูแลอื่นใดในเรื่องการคุ้มครองข้อมูลส่วนบุคคล

  6. 6. การตอบสนองต่อเหตุด้านความมั่นคงปลอดภัย

    ส่วนงานและบุคลากรทั้งหมดของบริษัทมีหน้าที่รับผิดชอบในการตอบสนองต่อเหตุด้านความมั่นคงปลอดภัยตามที่กำหนดในกระบวนการรับมือเมื่อเกิดเหตุละเมิด (Incident Management Procedure) ของบริษัท โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ร่วมกับผู้ปฏิบัติงานสนับสนุนด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัท จะดำเนินการให้มั่นใจว่าเหตุด้านความมั่นคงปลอดภัยและความเสี่ยงที่พบจะได้รับการระบุ ประเมิน และแก้ไขเยียวยาอย่างเหมาะสม

  7. 7. การฝึกอบรมด้านความเป็นส่วนตัว

    บริษัทจะจัดให้มีการฝึกอบรมเกี่ยวกับความตระหนักรู้ด้านความเป็นส่วนตัวในทุก ๆ ปี และกำหนดให้บุคลากรของบริษัททั้งหมดต้องเข้าร่วม โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ร่วมกับผู้ปฏิบัติงานสนับสนุนด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัทจะดำเนินการให้มั่นใจว่าเนื้อหาของการฝึกอบรมนั้นเป็นปัจจุบันและเหมาะสมกับการดำเนินธุรกิจของบริษัท

6. ข้อปฏิบัติและข้อห้ามของบุคลากร
  1. การนำหลักการทั่วไปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลมาปรับใช้กับการประมวลผลข้อมูลส่วนบุคคล และการดำเนินการตามนโยบาย รวมถึงโครงสร้าง นโยบาย และกระบวนการภายในใด ๆ ของบริษัทอันเกี่ยวเนื่องกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึง
    • พยายามทำความเข้าใจว่าข้อมูลประเภทใดเป็นข้อมูลส่วนบุคคล และขอคำแนะนำจากเจ้าหน้าที่คุ้มครองข้อมูลหากมีข้อสงสัย
    • เก็บรวบรวมข้อมูลส่วนบุคคลเฉพาะที่เกี่ยวข้องโดยตรงและจำเป็นเพื่อให้บรรลุวัตถุประสงค์ และเก็บรักษาข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่จำเป็นเพื่อปฏิบัติตามวัตถุประสงค์
    • ใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ข้อมูลส่วนบุคคลนั้นถูกเก็บรวบรวมมาเท่านั้น
    • ทำให้มั่นใจว่าข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน ไม่ก่อให้เกิดความเข้าใจผิด และเกี่ยวข้องกับวัตถุประสงค์ที่ข้อมูลนั้นถูกเก็บรวบรวมมา
    • อาศัยมาตรการคุ้มครองความมั่นคงปลอดภัยที่เหมาะสม เพื่อทำให้ข้อมูลส่วนบุคคล (ทั้งรูปแบบเอกสารและรูปแบบอิเล็กทรอนิกส์) ปลอดภัยจากความเสี่ยง เช่น การสูญหาย การเข้าถึง การใช้ การทำลาย การแก้ไขเปลี่ยนแปลง หรือการเปิดเผยโดยไม่ชอบด้วยกฎหมายหรือโดยปราศจากอำนาจ (เช่น หลีกเลี่ยงการทิ้งกระดาษ เอกสาร หรือไฟล์ที่มีข้อมูลส่วนบุคคลไว้เมื่อไม่อยู่ในบริเวณนั้น)
    • หลีกเลี่ยงการเข้าถึง การเก็บรวบรวม หรือการเก็บรักษาข้อมูลส่วนบุคคลที่ไม่จำเป็นกับความรับผิดชอบของงานที่ทำในปัจจุบัน
    • ทำลายข้อมูลส่วนบุคคลอย่างปลอดภัยเสมอ (เช่น การย่อยสลายหรือการลบทางอิเล็กทรอนิกส์ที่เหมาะสม)
    • คำนึงว่าข้อมูลส่วนบุคคลเป็นของบริษัทและไม่สามารถทำซ้ำ โอนย้าย หรือลบโดยไม่ได้รับอนุญาต
  2. การใช้ข้อมูลและอุปกรณ์ของบริษัทอย่างเหมาะสม
    • ใช้ข้อมูลและอุปกรณ์ของบริษัทเพื่อวัตถุประสงค์ทางธุรกิจโดยชอบเท่านั้น และเป็นไปตามนโยบาย รวมถึงโครงสร้าง นโยบาย และกระบวนการภายในใด ๆ ของบริษัทอันเกี่ยวเนื่องกับการคุ้มครองข้อมูลส่วนบุคคล
    • ไม่ติดตั้งหรือใช้ซอฟต์แวร์อื่นบนคอมพิวเตอร์โดยไม่ได้รับอนุญาตจากบริษัท
    • ใช้วิธีการเข้ารหัส (Encryption) ที่เหมาะสม
    • แอปพลิเคชันบนคอมพิวเตอร์และอุปกรณ์โทรคมนาคมของบริษัทจะต้องถูกบริหารจัดการอย่างเหมาะสม
  3. การแจ้งเหตุด้านความมั่นคงปลอดภัยของข้อมูล

    แจ้งเหตุด้านความมั่นคงปลอดภัยของข้อมูลตามที่กำหนดในกระบวนการรับมือเมื่อเกิดเหตุละเมิด (Incident Management Procedure) ของบริษัท

  4. 4. การฝึกอบรมอย่างเหมาะสม

    เข้ารับการฝึกอบรมเกี่ยวกับความเป็นส่วนตัวและความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่จำเป็นให้ครบถ้วน

7. การละเมิดนโยบาย

การละเมิดนโยบายฉบับนี้ และ/หรือกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล อาจนำไปสู่การลงโทษทางวินัย ซึ่งอาจรวมถึงการเลิกจ้าง หรืออาจส่งผลให้มีการเลิกสัญญาหรือยุติความสัมพันธ์ทางธุรกิจ หากการละเมิดดังกล่าวก่อให้เกิดความเสียหายต่อบริษัท บุคลากรของบริษัท หรือบุคคลอื่นใด บริษัทอาจดำเนินการทางกฎหมายเพิ่มเติม

8. การแก้ไขปรับปรุงนโยบาย

นโยบายฉบับนี้ รวมถึงโครงสร้าง นโยบาย และกระบวนการภายในใด ๆ ของบริษัทอันเกี่ยวเนื่องกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งถือเป็นส่วนหนึ่งของนโยบายฉบับนี้ จะได้รับการทบทวนเพื่อการแก้ไขปรับปรุงเป็นระยะ โดยคำนึงถึงปัจจัยที่เกี่ยวข้องดังต่อไปนี้

  1. การแก้ไขเปลี่ยนแปลงกฎหมายที่ใช้บังคับ รวมถึงกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
  2. การแก้ไขเปลี่ยนแปลงกฎระเบียบ หรือข้อบังคับใด ๆ ภายในบริษัท
  3. การเกิดขึ้นของภัยคุกคามต่อ หรือช่องโหว่ของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลชนิดใหม่
  4. การเปลี่ยนแปลงลักษณะการประกอบธุรกิจของบริษัท
  5. ปัจจัยอื่น ๆ ตามที่บริษัท เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือบุคลากรอื่นใดของบริษัทเห็นสมควร
9. การร้องเรียนและการสนับสนุน

ในกรณีที่เป็นที่สงสัยหรือเชื่อว่ามีการละเมิดนโยบายฉบับนี้เกิดขึ้น หรือหากท่านมีข้อซักถามใด ๆ เกี่ยวกับนโยบายฉบับนี้ โปรดติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของเราที่


เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

Email : dpo@pttor.com

https://pdpa.pttor.com