นโยบายความเป็นส่วนตัว

1. บทนำ

           เพื่อให้การปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นไปด้วยความเรียบร้อย บริษัท เอคโค ออโต้พาร์ท (ไทยแลนด์) จำกัด จึงได้กำหนดนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล เพื่อเป็นแนวทางปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ให้เป็นไปด้วยความเรียบร้อย มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และให้มีการทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม บริษัทจึงประกาศนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล เพื่อใช้เป็นแนวทางในการปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายดังกล่าว

 

2. วัตถุประสงค์ของนโยบาย

  • เพื่อให้ผู้บริหาร และพนักงานของบริษัท ได้ตระหนักถึงความสำคัญและใช้เป็นแนวทางในการปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปด้วยความเรียบร้อย
  • เพื่อให้ลูกค้า คู่ค้า และผู้เกี่ยวข้องกับบริษัท มั่นใจได้ว่า บริษัทจะนำข้อมูลของบุคคลดังกล่าวไปเก็บรวบรวม ประมวลผล ใช้ หรือเปิดเผยข้อมูลเท่าที่จำเป็น ด้วยความระมัดระวัง

 

3. ขอบเขตของนโยบาย

           นโยบายฉบับนี้มีขอบเขตการปฏิบัติครอบคลุมถึงการดำเนินงานของผู้บริหาร และพนักงานทุกคนในบริษัท รวมทั้งผู้ที่เกี่ยวข้องทางธุรกิจกับบริษัท

 

4. คำนิยาม

  • เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ครอบคลุมทั้งข้อมูลลูกค้า คู่ค้า ผู้เกี่ยวข้องทางธุรกิจกับบริษัท รวมทั้งพนักงานทุกคนในบริษัทอย่างไรก็ดี ข้อมูลต่อไปนี้ไม่ใช่ข้อมูลส่วนบุคคล เช่น ข้อมูลติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล อาทิ ชื่อบริษัท ที่อยู่ของบริษัท เลขทะเบียนนิติบุคคลของบริษัท หมายเลขโทรศัพท์ของที่ทำงาน อีเมล ที่ใช้ในการทำงาน ข้อมูลของผู้ที่ถึงแก่กรรม เป็นต้น
  • ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลที่เกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ หมายเลขบัตรประชาชน หมายเลขประกันสังคม เลขหนังสือเดินทาง เลขบัญชีธนาคาร ประวัติการศึกษา ประวัติสุขภาพ ประวัติการทำงาน ประวัติครอบครัว ประวัติอาชญากรรม รูปภาพ ลายนิ้วมือ บันทึกเวลาทำงาน เชื้อชาติ ศาสนา IP Address Log File ข้อมูลทางพันธุกรรม ข้อมูลทางชีวภาพ (Biometric data) เป็นต้น
  • การประมวลผล (Processing) หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม บันทึก จัดระบบ ทำโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน ใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทำลาย

 

5. การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด

          การจัดเก็บรวบรวมข้อมูลส่วนบุคคลจะกระทำโดยมีวัตถุประสงค์ ขอบเขต และใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม ในการจัดเก็บรวบรวมข้อมูล จะจัดเก็บข้อมูลอย่างจำกัดเพียงเท่าที่จำเป็นแก่การให้บริการ หรือบริการด้วยวิธีการทางอิเล็กทรอนิกส์อื่นใดภายใต้วัตถุประสงค์ของบริษัทเท่านั้น ทั้งนี้บริษัทจะดำเนินการให้เจ้าของข้อมูล รับรู้ ให้ความยินยอม ตามแบบวิธีการที่บริษัทกำหนด การดำเนินการดังกล่าวข้างต้น บริษัทจะขอความยินยอมจากลูกจ้างก่อนทำการเก็บรวบรวม เว้นแต่

  • เป็นการปฏิบัติตามกฎหมาย เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พระราชบัญญัติการประกอบกิจการโทรคมนาคม พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน ประมวลกฎหมายแพ่งและอาญา ประมวลกฎหมายวิธีพิจารณาความแพ่งและอาญา เป็นต้น
  • เป็นไปเพื่อประโยชน์แก่การสอบสวนของพนักงานสอบสวน หรือการพิจารณาพิพากษาคดีของศาล
  • เพื่อประโยชน์ของลูกค้า และการขอความยินยอมไม่อาจกระทำได้ในเวลานั้น
  • เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่บริษัท
  • เป็นการจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
  • เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
  • เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือเพื่อการศึกษา วิจัย การจัดทำสถิติ ซึ่งได้จัดให้มีมาตรการป้องกันที่เหมาะสม

 

6. มาตรการรักษาความมั่นคงปลอดภัยและคุณภาพของข้อมูล

  • บริษัทตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล บริษัทจึงกำหนดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมและสอดคล้องกับการรักษาความลับของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ แปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย ตลอดจนการป้องกันมิให้มีการนำข้อมูลส่วนบุคคลไปใช้โดยมิได้รับอนุญาต
  • ข้อมูลส่วนบุคคลที่บริษัทได้รับมา เช่น ชื่อ อายุ ที่อยู่ หมายเลขโทรศัพท์ หมายเลขบัตรประชาชน ข้อมูลทางการเงิน เป็นต้น ซึ่งสามารถบ่งบอกถึงตัวบุคคลได้ และเป็นข้อมูลส่วนบุคคลที่มีความถูกต้องและเป็นปัจจุบัน จะถูกนำไปใช้ให้เป็นไปตามวัตถุประสงค์การดำเนินงานของบริษัทเท่านั้น และบริษัทจะดำเนินมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล

 

7. วัตถุประสงค์ในการรวบรวม จัดเก็บ ใช้ ข้อมูลส่วนบุคคล

          บริษัทจะจัดเก็บรวบรวม ใช้ ข้อมูลส่วนบุคคล เพื่อประโยชน์ในการให้บริการแก่เจ้าของข้อมูล และเพื่อวัตถุประสงค์อื่นใดที่ไม่ต้องห้ามตามกฎหมาย และ/หรือเพื่อปฏิบัติตามกฎหมายหรือกฎระเบียบที่ใช้บังคับกับบริษัท ทั้งขณะนี้และภายภาคหน้า รวมทั้งยินยอมให้บริษัทส่ง โอน และ/หรือเปิดเผยข้อมูลส่วนบุคคลให้แก่กลุ่มธุรกิจของบริษัท พันธมิตรทางธุรกิจ ผู้ให้บริการภายนอก ผู้ประมวลผลข้อมูล ผู้รับโอนสิทธิ หน่วยงาน/องค์กร/นิติบุคคลใด ๆ ที่มีสัญญาอยู่กับบริษัท โดยยินยอมให้บริษัท ส่ง โอน และ/หรือเปิดเผยข้อมูลดังกล่าวได้ และบริษัทจะจัดเก็บรักษาข้อมูลดังกล่าวไว้ตามระยะเวลาเท่าที่จำเป็นสำหรับวัตถุประสงค์เหล่านั้นเท่านั้น หากภายหลังมีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล บริษัทจะประกาศให้เจ้าของข้อมูลทราบทุกครั้ง

 

8. ข้อจำกัดในการใช้และ/หรือเปิดเผยข้อมูลส่วนบุคคล

          บริษัทจะใช้ เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลได้ตามความยินยอมของเจ้าของข้อมูล โดยจะต้องเป็นการใช้ตามวัตถุประสงค์ของการจัดเก็บรวบรวมข้อมูลของบริษัทเท่านั้น บริษัทจะกำกับดูแลพนักงาน เจ้าหน้าที่หรือผู้ปฏิบัติงานของบริษัทมิให้ใช้และ/หรือเปิดเผย ข้อมูลส่วนบุคคลของเจ้าของข้อมูลนอกเหนือไปจากวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลหรือเปิดเผยต่อบุคคลภายนอก เว้นแต่

  • เป็นการปฏิบัติตามกฎหมาย เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน ประมวลกฎหมายแพ่งและอาญา ประมวลกฎหมายวิธีพิจารณาความแพ่งและอาญา เป็นต้น
  • เป็นไปเพื่อประโยชน์แก่การสอบสวนของพนักงานสอบสวน หรือการพิจารณาพิพากษาคดี ของศาล
  • เพื่อประโยชน์ของเจ้าของข้อมูล และการขอความยินยอมไม่อาจกระทำได้ในเวลานั้น
  • เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท
  • เป็นการจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
  • เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
  • เพื่อประโยชน์สาธารณะ หรือเพื่อการศึกษา วิจัย การจัดทำสถิติ ซึ่งได้จัดให้มีมาตรการป้องกันที่เหมาะสม บริษัทอาจใช้บริการสารสนเทศของผู้ให้บริการซึ่งเป็นบุคคลภายนอกเพื่อให้ดำเนินการเก็บรักษาข้อมูลส่วนบุคคล ซึ่งผู้ให้บริการนั้นจะต้องมีมาตรการรักษาความมั่นคงปลอดภัย โดยห้ามดำเนินการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลนอกเหนือจากที่บริษัทกำหนด

 

9. ขั้นตอนในการรวบรวม ใช้ เก็บรักษา ประมวลผล และทำลายข้อมูลส่วนบุคคล

  • บริษัทจะขออนุญาตเจ้าของข้อมูลเพื่อให้ความยินยอมในการที่บริษัทจะใช้ เก็บรักษา หรือประมวลผลข้อมูลตามวัตถุประสงค์ต่าง ๆ ที่บริษัทกำหนดตามนโยบายฉบับนี้
  • การใช้ข้อมูลต้องเป็นไปตามวัตถุประสงค์ที่เจ้าของข้อมูลให้ความยินยอม ยกเว้นตามข้อที่กำหนดไว้ในนโยบายฉบับนี้
  • การเก็บรักษา ให้เป็นไปตามนโยบายการรักษาความลับของบริษัท นโยบายด้านเทคโนโลยีสารสนเทศ รวมถึงนโยบายอื่น ๆ ที่เกี่ยวข้อง
  • การประมวลผลข้อมูลจากฝ่ายต่าง ๆ ภายในบริษัท สามารถนำไปประมวลผลได้ตามวัตถุประสงค์ในใบยินยอมของเจ้าของข้อมูล ในกรณีที่ต้องส่งข้อมูลให้ผู้ให้บริการภายนอกทำการประมวลผล บริษัทจะจัดทำสัญญาที่จะไม่เปิดเผยข้อมูลกับผู้ให้บริการภายนอกรายนั้น ๆ
  • การทำลายข้อมูล บริษัทจะดำเนินการทำลายข้อมูลตามคำร้องขอของเจ้าของข้อมูลทันที ถ้าการทำลายนั้นไม่ขัดกับกฎหมาย หรือความจำเป็นอื่นใดที่เกี่ยวข้อง

 

10. การบริหารจัดการปัญหาในกรณีที่มีการรั่วไหลของข้อมูล

          บริษัทกำหนดแนวทางเพื่อจัดการปัญหาในกรณีที่เกิดการรั่วไหลของข้อมูลส่วนบุคคล ไว้ดังนี้

  • เมื่อมีการตรวจพบหรือได้รับเรื่องร้องเรียนถึงการรั่วไหลของข้อมูลส่วนบุคคล ผู้ที่ตรวจพบหรือได้รับเรื่องร้องเรียนต้องรายงานเจ้าหน้าที่ผู้ดูแลข้อมูลส่วนบุคคล (ฝ่ายบุคคลธุรการ) เพื่อดำเนินการตรวจสอบ ประสานงานกับฝ่ายที่เป็นผู้รับผิดชอบข้อมูลในการค้นหาสาเหตุที่เกิดการรั่วไหลของข้อมูล พร้อมทั้งรายงานให้กับหน่วยงานกำกับที่เกี่ยวข้องตามที่กฎหมายระบุไว้
  • เมื่อตรวจพบสาเหตุซึ่งเกิดจาก
              - ระบบงานของบริษัท ให้ประสานงานกับฝ่ายเทคโนโลยีสารสนเทศ (MIS) เพื่อระงับหรือปิดระบบงานชั่วคราว เพื่อดำเนินการปรับปรุงแก้ไขข้อผิดพลาด หรือแจ้งให้กับผู้ให้บริการภายนอกของระบบงานนั้นดำเนินการแก้ไขทันที
              - บุคคลภายในบริษัท ให้ดำเนินการระงับการเข้าถึงข้อมูลของบุคคลนั้นโดยทันที และดำเนินการตั้งคณะกรรมการสอบสวน
              - ผู้ให้บริการภายนอก ให้ผู้ให้บริการภายนอกตรวจสอบสาเหตุและแจ้งกลับบริษัท ภายใน 5 วันทำการ นับจากที่บริษัทได้แจ้งข้อมูลไป ซึ่งในระหว่างนั้นบริษัทจะระงับการส่งข้อมูลให้ผู้ให้บริการภายนอกรายนั้น ๆ ชั่วคราว จนกว่าจะแก้ไขปัญหาได้
  • สำหรับข้อมูลที่รั่วไหลออกไป บริษัทจะดำเนินการจัดการกับข้อมูลนั้น ๆ โดยจำกัดความเสียหายให้ได้มากที่สุด ตามกระบวนการทางกฎหมายหรือวิธีอื่น ๆ ตามแต่กรณี
  • บริษัทจะแจ้งความคืบหน้าให้ผู้ร้องเรียนทราบเป็นระยะ ถึงความคืบหน้าของการจำกัดความเสียหาย สาเหตุ การป้องกันที่แก้ไขที่บริษัทได้ดำเนินการไปในแต่ละขั้นตอน

 

11. สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้า คู่ค้า ผู้เกี่ยวข้องทางธุรกิจกับบริษัท และพนักงานบริษัท

  • สิทธิในการขอเข้าถึง ขอรับสำเนาข้อมูลส่วนบุคคลของเจ้าของข้อมูล ตามหลักเกณฑ์และวิธีการ ที่บริษัทกำหนด หรือขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคล ทั้งนี้ คำขอดังกล่าวต้องไม่ขัดกับกฎหมายที่เกี่ยวข้อง
  • สิทธิในการขอแก้ไขหรือเปลี่ยนแปลงข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่ไม่ถูกต้อง หรือไม่สมบูรณ์ หรือไม่เป็นปัจจุบัน
  • สิทธิในการขอลบหรือขอให้ทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูล เว้นแต่เป็นกรณีที่บริษัทต้องปฏิบัติตามกฎหมายที่เกี่ยวข้องในการเก็บรักษาข้อมูลดังกล่าว

 

12. การเปิดเผยการดำเนินการตามแนวปฏิบัติ และนโยบายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

          บริษัทจะดำเนินการแจ้งให้หน่วยงาน พนักงาน คู่ค้าทางธุรกิจ และเจ้าของข้อมูลบุคคล รับทราบถึงนโยบายและการดำเนินการตามแนวปฏิบัติด้วยวิธีการต่าง ๆ ตามความเหมาะสม เช่น การติดประกาศทั้งภายในและภายนอกหรือบนเว็บไซต์ เป็นต้น

 

13. การปฏิบัติตามกฎหมายหรือแนวทางปฏิบัติที่เกี่ยวข้องและการปรับปรุงนโยบาย

          บริษัทจะติดตามความคืบหน้าของกฎหมายหรือแนวทางปฏิบัติที่เกี่ยวข้องอย่างสม่ำเสมอ พร้อมทั้งจะพิจารณาทบทวนและปรับปรุงนโยบาย และกระบวนการคุ้มครองข้อมูลส่วนบุคคลเป็นระยะ หากมีการเปลี่ยนแปลงที่สำคัญใด ๆ บริษัทจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมทั้งประชาสัมพันธ์ทางช่องทางสื่อสารต่าง ๆ ตามความเหมาะสม

 

14. นโยบายที่เกี่ยวข้อง

          บริษัทได้กำหนดให้มีนโยบายการรักษาความลับของบริษัท (ตามระเบียบข้อบังคับบริษัทฯ หมวดที่9 กรณีความผิดร้ายแรง) โดยมีสาระสำคัญกำหนดให้เอกสารทุกชนิดถือเป็นเอกสารลับ บุคคลที่มีหน้าที่จัดทำ หรือดูแลรักษาเอกสารไม่มีสิทธินำออกเผยแพร่แก่บุคคลภายนอก หรือบุคคลภายในที่ไม่มีหน้าที่เกี่ยวข้องกับเอกสารดังกล่าว ไม่ว่าทางช่องทางการสื่อสารใดก็ตาม เว้นแต่เป็นการประสานข้อมูลของพนักงานภายในบริษัทเอง เพื่อประโยชน์ในการปฏิบัติงานของบริษัท หรือเป็นกรณีที่หน่วยงานราชการที่มีหน้าที่เกี่ยวข้องร้องขอเพื่อปฏิบัติภารกิจตามอำนาจหน้าที่ของหน่วยงาน

 

15. ช่องทางการติดต่อบริษัท

          ฝ่ายบุคคลธุรการ

          บริษัท เอคโค ออโต้พาร์ท (ไทยแลนด์) จำกัด

          เลขที่ 13/1 หมู่ 2 ถนนบางนา-ตราด กม.41

          ต.บางวัว อ.บางปะกง จ.ฉะเชิงเทรา

          โทรศัพท์ 038-538-145

© Copyright 2023 ECHO AUTOPARTS (THAILAND) CO., LTD. All rights reserved. | นโยบายความเป็นส่วนตัว