Privacy Policy

1. บทบัญญัติทั่วไป

นโยบายความเป็นส่วนตัวเกี่ยวกับข้อมูลส่วนบุคคลฉบับนี้ (“นโยบาย”) ได้รับการจัดทำขึ้นให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ…. แห่งราชอาณาจักรไทย และกฎหมายอื่นๆ ที่เกี่ยวข้อง เพื่อกำหนดหลักเกณฑ์การประมวลผลข้อมูลส่วนบุคคล และการคุ้มครองสิทธิและเสรีภาพของบุคคลเมื่อ Boss45 (“ผู้ควบคุมข้อมูล”) ทำการประมวลผลข้อมูลส่วนบุคคล

นโยบายฉบับนี้เป็นเอกสารสาธารณะ โดยผู้ควบคุมข้อมูลจะเปิดเผยรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมูลตามคำร้องขอและตามหลักเกณฑ์ที่กฎหมายกำหนด

นโยบายนี้ได้รับการจัดทำขึ้นโดยมีวัตถุประสงค์เพื่อ:

• แจ้งให้เจ้าของข้อมูลทราบถึงประเภทข้อมูลส่วนบุคคลที่ Boss45 เก็บรวบรวมและวิธีการที่ใช้ในการจัดการข้อมูลดังกล่าว
• อธิบายถึงสิทธิต่างๆ ของเจ้าของข้อมูลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
• แสดงให้เห็นถึงความมุ่งมั่นของ Boss45 ในการปฏิบัติตามกฎระเบียบและมาตรฐานสูงสุดในการจัดการข้อมูลส่วนบุคคลอย่างรอบคอบและรับผิดชอบ

Boss45 มุ่งมั่นที่จะปฏิบัติตามนโยบายฉบับนี้อย่างเคร่งครัด และจะทบทวนปรับปรุงนโยบายเมื่อมีการเปลี่ยนแปลงของกฎหมาย ระเบียบ หรือแนวปฏิบัติที่เกี่ยวข้อง ฉบับปรับปรุงใหม่จะมีผลบังคับใช้หลังจากการประกาศอย่างเป็นทางการ

2. คำนิยามหลักที่ใช้ในนโยบาย

• ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งสามารถระบุตัวตนได้ทั้งทางตรงและทางอ้อม
• การประมวลผลข้อมูลส่วนบุคคล หมายถึง การดำเนินการใดๆ กับข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม บันทึก จัดระบบ สะสม จัดเก็บ ปรับปรุง ค้นหา ใช้ ส่งต่อ เปิดเผย ทำให้เป็นข้อมูลนิรนาม ระงับการใช้ ลบ หรือทำลาย
• การเปิดเผยข้อมูลส่วนบุคคล หมายถึง การกระทำใดๆ ที่มุ่งเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลภายนอกโดยไม่จำกัด
• การให้ข้อมูลส่วนบุคคล หมายถึง การกระทำใดๆ ที่มุ่งเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลหรือกลุ่มบุคคลเฉพาะ
• การส่งข้อมูลส่วนบุคคลข้ามพรมแดน หมายถึง การที่ผู้ควบคุมข้อมูลส่งข้อมูลส่วนบุคคลไปยังหน่วยงานรัฐ หรือองค์กร/บุคคลภายนอกประเทศไทย

3. สิทธิและหน้าที่หลักของผู้ควบคุมข้อมูล

หน้าที่ของผู้ควบคุมข้อมูล:

• ดำเนินมาตรการป้องกันข้อมูลส่วนบุคคลจากการถูกเข้าถึงอย่างไม่ชอบด้วยกฎหมายหรือโดยอุบัติเหตุ
• ควบคุมกำกับดูแลการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย
• ประเมินความเสี่ยงอันอาจก่อให้เกิดความเสียหายต่อสิทธิของเจ้าของข้อมูล
• อธิบายแนวปฏิบัติการตัดสินใจอัตโนมัติจากการประมวลผลข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมูล
• ขอความยินยอมจากเจ้าของข้อมูลก่อนประมวลผลข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายอนุญาต
• เผยแพร่นโยบายการประมวลผลข้อมูลส่วนบุคคลแก่สาธารณะอย่างไม่มีข้อจำกัดในการเข้าถึง

สิทธิของผู้ควบคุมข้อมูล:

• กำหนดประเภทและรายการข้อมูลส่วนบุคคลที่จะทำการประมวลผลด้วยตนเอง
• มอบหมายให้บุคคลอื่นประมวลผลข้อมูลส่วนบุคคลแทน โดยต้องได้รับความยินยอมจากเจ้าของข้อมูลและปฏิบัติตามมาตรการคุ้มครองข้อมูลอย่างเคร่งครัด
• ปฏิเสธที่จะตอบสนองคำขอใดๆ หากเป็นการกระทำที่ขัดต่อกฎหมายไทย

4. สิทธิและหน้าที่หลักของเจ้าของข้อมูลส่วนบุคคล

หน้าที่ของเจ้าของข้อมูล:

• ให้ข้อมูลส่วนบุคคลที่ถูกต้อง ครบถ้วน และเป็นปัจจุบัน
• แจ้งให้ผู้ควบคุมข้อมูลทราบหากมีการเปลี่ยนแปลงข้อมูลส่วนบุคคล

สิทธิของเจ้าของข้อมูล:

• ขอทราบรายละเอียดการประมวลผลข้อมูลส่วนบุคคลของตนเอง
• ร้องขอให้แก้ไข ระงับการใช้ หรือลบข้อมูลส่วนบุคคล
• ถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคล
• ร้องเรียนการกระทำหรือละเว้นการกระทำของผู้ควบคุมข้อมูลต่อหน่วยงานกำกับดูแลหรือนำเรื่องขึ้นสู่ศาล
• ปกป้องสิทธิและประโยชน์โดยชอบด้วยกฎหมายของตนเอง
• ใช้สิทธิอื่นๆ ตามที่กฎหมายกำหนด

5. หลักการในการประมวลผลข้อมูลส่วนบุคคล

การประมวลผลข้อมูลส่วนบุคคลจะต้องกระทำโดยมีฐานทางกฎหมายรองรับ และดำเนินการภายใต้หลักการดังต่อไปนี้:

• มีวัตถุประสงค์ที่ชัดเจนและทำการกำหนดวัตถุประสงค์ไว้ล่วงหน้าอย่างถูกต้องตามกฎหมาย
• ห้ามนำฐานข้อมูลที่มีข้อมูลส่วนบุคคลที่ถูกประมวลผลเพื่อวัตถุประสงค์ต่างกันมารวมกัน
• เก็บรวบรวมเฉพาะข้อมูลส่วนบุคคลที่จำเป็นต่อการบรรลุวัตถุประสงค์ของการประมวลผลนั้นๆ
• เนื้อหาและขอบเขตของข้อมูลส่วนบุคคลที่เก็บรวบรวมต้องสอดคล้องกับวัตถุประสงค์ที่กำหนดไว้
• รักษาความถูกต้อง ครบถ้วน และทันสมัยของข้อมูลส่วนบุคคลที่ประมวลผล

6. เงื่อนไขในการประมวลผลข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลจะดำเนินการเก็บรวบรวม บันทึก จัดระบบ และสะสมข้อมูลส่วนบุคคลโดยใช้ฐานข้อมูลภายในประเทศไทย และเก็บรักษาข้อมูลส่วนบุคคลไว้ภายในระยะเวลาที่จำเป็นต่อการบรรลุวัตถุประสงค์ในการประมวลผลนั้นเท่านั้น

ข้อมูลส่วนบุคคลจะถูกทำให้เป็นข้อมูลนิรนามก่อนทำการประมวลผล และจัดเก็บแยกออกจากประเภทข้อมูลอื่นๆ การส่งต่อข้อมูลส่วนบุคคลไปยังบุคคลภายนอกจะกระทำได้ในกรณีดังต่อไปนี้เท่านั้น:

• ได้รับความยินยอมจากเจ้าของข้อมูล
• เป็นการมอบหมายให้บุคคลภายนอกประมวลผลข้อมูลแทนตามเงื่อนไขที่กำหนดในนโยบายและกฎหมาย
• เป็นการดำเนินการตามคำสั่งของหน่วยงานผู้มีอำนาจตามกฎหมาย
• เป็นไปตามคำสั่งศาล หรือจำเป็นเพื่อการปฏิบัติตามสัญญากับเจ้าของข้อมูล

การส่งข้อมูลส่วนบุคคลข้ามแดนจะกระทำได้ก็ต่อเมื่อได้ดำเนินมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลแล้วเท่านั้น

7. ขั้นตอนการเก็บรวบรวม จัดเก็บ ส่งต่อ และการประมวลผลข้อมูลส่วนบุคคลอื่นๆ

การส่งต่อข้อมูลส่วนบุคคลไปยังบุคคลภายนอกจะกระทำได้เมื่อมีความยินยอมจากเจ้าของข้อมูล หรือตามเหตุผลที่กฎหมายอนุญาต และต้องมีมาตรการคุ้มครองความปลอดภัยของข้อมูลอย่างเหมาะสม

8. การรักษาความปลอดภัยข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลได้นำมาตรการทางเทคนิคและการบริหารจัดการที่เหมาะสมมาใช้ เพื่อป้องกันการเข้าถึง ทำลาย เปลี่ยนแปลง บล็อก คัดลอก เปิดเผย หรือกระทำการอื่นใดกับข้อมูลส่วนบุคคลอันเป็นการฝ่าฝืนกฎหมาย

นอกจากนี้ ผู้ควบคุมข้อมูลยังมีการควบคุมภายในและประเมินความเสี่ยงที่อาจก่อให้เกิดความเสียหายต่อเจ้าของข้อมูล มีการทดสอบระบบรักษาความปลอดภัยอย่างสม่ำเสมอ

เฉพาะพนักงานที่ได้รับอนุญาตและมีหน้าที่เกี่ยวข้องโดยตรงเท่านั้นที่จะสามารถเข้าถึงข้อมูลส่วนบุคคลได้ โดยพนักงานจะต้องผ่านการอบรมและรับทราบข้อกำหนดในการรักษาความลับอย่างเคร่งครัด

9. บทสรุป

นโยบายความเป็นส่วนตัวนี้อาจมีการปรับปรุงเป็นครั้งคราว แต่จะต้องมีการทบทวนทุก 3 ปี ฉบับแก้ไขจะมีผลบังคับใช้หลังจากได้มีการประกาศใช้และเผยแพร่แล้ว เว้นแต่จะมีข้อกำหนดเป็นอย่างอื่นในฉบับแก้ไขนั้นๆ

ในกรณีที่นโยบายนี้ขัดแย้งกับกฎหมายที่บังคับใช้ ให้ถือปฏิบัติตามบทบัญญัติแห่งกฎหมายนั้น

ผู้ควบคุมข้อมูลมีพนักงานและหน่วยงานกำกับดูแลคุณภาพ เพื่อควบคุมการปฏิบัติตามนโยบายความเป็นส่วนตัวฉบับนี้อย่างเคร่งครัด นอกจากนี้ บริษัทยังจัดให้มีการฝึกอบรมพนักงานอย่างสม่ำเสมอเพื่อให้เกิดความรู้ความเข้าใจในนโยบายนี้อย่างถ่องแท้

หากมีประเด็นข้อสงสัยหรือต้องการสอบถามรายละเอียดเพิ่มเติมเกี่ยวกับการปฏิบัติตามนโยบายความเป็นส่วนตัว กรุณาติดต่อเจ้าหน้าที่ผู้รับผิดชอบของบริษัทผ่านช่องทางการสื่อสารต่างๆ ที่เปิดให้บริการ ทางบริษัทยินดีให้คำปรึกษาและชี้แจงข้อมูลอย่างละเอียด