บริษัท เวิลด์คลาส เรนท์ อะ คาร์ จำกัด (“บริษัทฯ”) ได้มีการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของลูกค้า คู่ค้า พนักงาน ผู้สมัคร บุคลากรและบุคคลอื่นใดที่เกี่ยวข้องกับบริษัทฯ โดยบริษัทฯ เคารพและตระหนักถึงความสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทฯ จึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น เพื่อกำหนดให้การประมวลผลข้อมูลส่วนบุคคลมีหลักเกณฑ์ ระเบียบ การบริหารจัดการ และมีมาตรการที่เหมาะสม โดยให้ถือว่าเป็นนโยบายของบริษัทฯ ที่มีผลบังคับใช้กับพนักงานทุกคน เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับจะถูกนำไปใช้ตามระเบียบการปฏิบัติและถูกต้องตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลโดยมีรายละเอียด ดังนี้
1. คำนิยาม
“บริษัทฯ” | หมายความว่า บริษัท เวิลด์คลาส เรนท์ อะ คาร์ จำกัด |
“ข้อมูลส่วนบุคคล” | หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” | หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงานข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
“ผู้ควบคุมข้อมูลส่วนบุคคล” | หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล |
“ผู้ประมวลผลข้อมูลส่วนบุคคล” | หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล |
“เจ้าของข้อมูลส่วนบุคคล” | หมายความว่า บุคคลธรรมดาที่ข้อมูลส่วนบุคคลนั้นบ่งชี้ไปถึง |
“การประมวลผลข้อมูล” | หมายความว่า การดำเนินการใดๆ เกี่ยวกับการจัดเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล |
“คณะกรรมการ” | หมายความว่า กรรมการของบริษัท เวิลด์คลาส เรนท์ อะ คาร์ จำกัด |
“ผู้บริหาร” | หมายความว่า ผู้บริหารของบริษัท เวิลด์คลาส เรนท์ อะ คาร์ จำกัด |
“พนักงาน” | หมายความว่า พนักงานในระดับรองลงมาจากระดับผู้บริหารของบริษัท เวิลด์คลาส เรนท์ อะ คาร์ จำกัด |
“ประกาศความเป็นส่วนตัว” | หมายความว่า การประกาศบนเว็บไซต์เพื่อแจ้งผู้เข้ามาใช้เว็บไซต์ถึง จุดประสงค์ วิธีการรวบรวม ประมวล และจัดเก็บข้อมูลส่วนบุคคลของเว็บไซต์ |
“คุกกี้” | หมายความว่า ไฟล์เป็นเอกลักษณ์ซึ่งสร้างโดยเว็บไซต์และจัดเก็บบนคอมพิวเตอร์ หรืออุปกรณ์ สื่อสารของผู้ใช้งานซึ่งจะจัดเก็บข้อมูลส่วนบุคคล การใช้งาน และการตั้งค่าต่าง ๆ ของผู้ใช้งานเพื่อปรับปรุง ประสบการณ์ใช้งานเว็บไซต์ของผู้ใช้งาน |
2. หลักการ และการปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
การคุ้มครองข้อมูลส่วนบุคคลบริษัทฯ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลดำเนินการตามหลักการคุ้มครองข้อมูลส่วนบุคคลตามที่ระบุด้านล่างนี้ เพื่อให้เกิดการใช้ข้อมูลส่วนบุคคลอย่างถูกต้อง บริษัทฯ ต้องจัดการให้มีการปฏิบัติดังต่อไปนี้
(1) การจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
บริษัทฯ จะต้องมีการกำหนดวิธีการ หรือรูปแบบสำหรับการขอความยินยอมกับเจ้าของข้อมูลส่วนบุคคล โดยกระทำอย่างชัดแจ้ง ไม่ซับซ้อน โดยกำหนดเป็นรูปแบบหนังสือ หรือระบบอิเล็กทรอนิกส์ อย่างใดอย่างหนึ่ง
(2) การแจ้งให้ทราบถึงวัตถุประสงค์ในการการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
บริษัทฯ จะต้องมีการกำหนดวิธีการ หรือรูปแบบสำหรับการแจ้งวัตถุประสงค์ และข้อมูลที่จำเป็นให้กับเจ้าของข้อมูลส่วนบุคคลได้รับทราบอย่างชัดเจนก่อนเก็บ หรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล โดยกำหนดเป็นรูปแบบหนังสือ และ/หรือระบบอิเล็กทรอนิกส์
(ทั้งนี้ บริษัทฯ จะต้องพึ่งพิจารณาการจัดเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคล)
(3) การปกป้องข้อมูลส่วนบุคคล
บริษัทฯ จะต้องจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลในการจัดเก็บ ใช้ หรือเปิดเผย รวมถึงการส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลอื่นและต้องมีการทบทวนมาตรการให้สอดคล้องกับการเปลี่ยนแปลง และป้องกันไม่ให้มีการนำข้อมูลไปใช้หรือเปิดเผยโดยไม่ได้รับอนุญาต
(4) การจัดการข้อมูลส่วนบุคคล
(ก) บริษัทฯ จะต้องกำหนดให้มีการกำหนดสิทธิ และข้อจำกัดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล การแก้ไข เปลี่ยนแปลง ลบ หรือทำลายข้อมูลต้องกระทำภายใต้คำร้องขอจากเจ้าของข้อมูลส่วนบุคคล หรือในกรณีที่พิจารณาเห็นควรให้มีการแก้ไข เปลี่ยนแปลง บริษัทฯ จะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบทุกครั้ง
(ข) บริษัทฯ จะต้องกำหนดให้มีการติดตาม ตรวจสอบการลบหรือทำลายข้อมูลส่วนบุคคล เมื่อการเก็บข้อมูลเกินกำหนดระยะเวลา หรือกรณีที่ข้อมูลที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ที่ได้ระบุไว้ หรือกรณีเจ้าของข้อมูลร้องขอหรือถอนความยินยอม
(ค) บริษัทฯ จะต้องกำหนดให้มีการบันทึกรายการข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถเข้าถึงหรือตรวจสอบได้
(ง) บริษัทฯ จะต้องกำหนดให้มีการกระบวนการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคล ทันทีเมื่อตรวจพบ
ทั้งนี้ ในกรณีที่บริษัทฯ อาจได้รับมาซึ่งข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลอื่น ที่มีนิติกรรมผูกพันในรูปแบบสัญญา บริษัทฯ จะอยู่ในฐานะของผู้ประมวลผลข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และต้องดำเนินการตามหลักการคุ้มครองข้อมูลส่วนบุคคลตามที่ระบุด้านล่างนี้ เพื่อให้เกิดการใช้ข้อมูลส่วนบุคคลอย่างถูกต้อง บริษัทฯ ต้องจัดการให้มีการปฏิบัติดังต่อไปนี้
(1) การจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
บริษัทฯ จะต้องดำเนินการภายใต้วิธีการ หรือรูปแบบที่ผู้ควบคุมข้อมูลส่วนบุคคลกำหนด เท่านั้น
(2) การแจ้งให้ทราบถึงวัตถุประสงค์ในการการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
บริษัทฯ จะต้องดำเนินการภายใต้วิธีการ หรือรูปแบบที่ผู้ควบคุมข้อมูลส่วนบุคคลกำหนด เท่านั้น
(3) การปกป้องข้อมูลส่วนบุคคล
บริษัทฯ จะต้องจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลในการจัดเก็บ ใช้ หรือเปิดเผย รวมถึงการส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลอื่นและต้องมีการทบทวนมาตรการให้สอดคล้องกับการเปลี่ยนแปลง และป้องกันไม่ให้มีการนำข้อมูลไปใช้หรือเปิดเผยโดยไม่ได้รับอนุญาต
(4) การจัดการข้อมูลส่วนบุคคล
(ก) บริษัทฯ จะต้องกำหนดให้มีการกำหนดสิทธิ และข้อจำกัดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล การแก้ไข เปลี่ยนแปลง ลบ หรือทำลายข้อมูลต้องกระทำภายใต้วิธีการ หรือรูปแบบที่ผู้ควบคุมข้อมูลส่วนบุคคลกำหนด เท่านั้น หรือในกรณีที่พิจารณาเห็นควรให้มีการแก้ไข เปลี่ยนแปลง บริษัทฯ จะต้องแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลรับทราบทุกครั้ง
(ข) บริษัทฯ จะต้องกำหนดให้มีการติดตาม ตรวจสอบการลบหรือทำลายข้อมูลส่วนบุคคลภายใต้วิธีการ หรือรูปแบบที่ผู้ควบคุมข้อมูลส่วนบุคคลกำหนด เท่านั้น
(ค) บริษัทฯ จะต้องกำหนดให้มีการบันทึกรายการข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถเข้าถึงหรือตรวจสอบได้
(ง) บริษัทฯ จะต้องกำหนดให้มีการกระบวนการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่ผู้ควบคุมข้อมูลส่วนบุคคลทันทีเมื่อตรวจพบ
3. วัตถุประสงค์และการเก็บรวบรวมการใช้ข้อมูลส่วนบุคคล
3.1. บริษัทฯ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล จะดำเนินการเก็บรวบรวม และ/หรือใช้ข้อมูลส่วนบุคคลโดยมีวัตถุประสงค์ที่ชอบด้วยกฎหมายและเป็นธรรม และจะแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ดังกล่าว ทั้งนี้เพื่อประโยชน์ในการดำเนินธุรกิจ ตลอดจนเพื่อปฏิบัติตามกฎหมายใดๆ ที่บริษัทฯ หรือบุคคลต้องปฏิบัติตาม
3.2. บริษัทฯ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล จะดำเนินการเก็บรวบรวม และ/หรือใช้ข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อการดำเนินงานภายใต้วัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคลเท่านั้น กรณีที่บริษัทฯ มีการดำเนินการอื่นใดนอกเหนือจากวัตถุประสงค์ที่กำหนด บริษัทฯ จะดำเนินการแจ้งให้เจ้าของข้อมูลทราบและได้รับความยินยอมหากจำเป็น
3.3. ในกรณีที่บริษัทฯ เก็บรวบรวม ใช้ ข้อมูลส่วนบุคคล บริษัทฯ จะขอความยินยอมจากเจ้าของข้อมูลก่อน เว้นแต่จะเข้าข้อยกเว้นตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้สามารถกระทำได้โดยไม่ต้องขอความยินยอมดังกล่าว
3.4. บริษัทฯ จะไม่จัดเก็บข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกัน เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้งเท่านั้น หรือเข้าข้อยกเว้นตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดไม่จำเป็นต้องขอความยินยอม โดยบริษัทฯ จะเก็บรวบรวม ใช้ข้อมูลส่วนบุคคลดังกล่าวด้วยความระมัดระวังภายใต้มาตรฐานการรักษาความมั่นคงปลอดภัยที่เหมาะสม
4. การเปิดเผยข้อมูลส่วนบุคคล
4.1. บริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคล หน่วยงานภาครัฐ หน่วยงานราชการ หน่วยงานกำกับดูแล องค์กร นิติบุคคลภายนอก ซึ่งมีสัญญาอยู่กับบริษัทฯ หรือภายใต้หลักเกณฑ์ที่กฎหมายอนุญาตให้บริษัทฯ เปิดเผยได้
4.2. บริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลให้แก่บริษัทฯ ในเครือเพื่อประโยชน์ในการดำเนินงานของบริษัทฯ และเพื่อประโยชน์ของเจ้าของข้อมูลภายใต้มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
5. การประมวลผลข้อมูลส่วนบุคคลโดยบุคคลภายนอก
บริษัทฯ อาจมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลให้บุคคลหรือหน่วยงานภายนอกประมวลผล โดยบริษัทฯ จะดูแลการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด และจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เห็นว่าจำเป็นและเหมาะสมสอดคล้องกับมาตรฐานการรักษาความลับ เช่น การแยกส่วนข้อมูลก่อนส่งข้อมูลส่วนบุคคล การจัดส่งข้อมูลเท่าที่จำเป็น รวมถึงการมีข้อตกลงรักษาความลับหรือข้อตกลงเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กับผู้รับข้อมูลดังกล่าว
6. การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
บริษัทฯ อาจมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังบริษัทฯ ในโครงข่ายของบริษัทฯ ที่อยู่ต่างประเทศ หรือไปยังผู้รับข้อมูลอื่นซึ่งเป็นส่วนหนึ่งของการดำเนินธุรกิจตามปกติของบริษัทฯ เช่น การส่งหรือโอนข้อมูลส่วนบุคคลไปเก็บไว้บนเซิร์ฟเวอร์ (server) หรือ คลาวด์ (cloud) ในประเทศต่าง ๆ บริษัทฯ จะคำนึงและพิจารณาว่าประเทศปลายทางได้ถูกรับรองว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
กรณีที่ประเทศปลายทางมีมาตรฐานไม่เพียงพอ บริษัทฯ จะดูแลการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด และจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เห็นว่าจำเป็นและเหมาะสมสอดคล้องกับมาตรฐานการรักษาความลับ เว้นแต่เข้าข้อยกเว้นตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในกรณีที่ประเทศปลายทางมีมาตรฐานไม่เพียงพอ การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศยังสามารถกระทำได้หากเข้าข้อยกเว้นกรณีเป็นการปฏิบัติตามกฎหมาย, ได้รับความยินยอมจากเจ้าของข้อมูล, เป็นการจำเป็นในการปฏิบัติตามสัญญา, ป้องกันระงับอันตรายต่อชีวิต หรือเป็นการจำเป็นเพื่อประโยชน์สาธารณะเป็นสำคัญ
7. ระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล
บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาที่จำเป็นในการดำเนินธุรกิจตามวัตถุประสงค์ หรือ ตลอดระยะเวลาที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ ซึ่งอาจจำเป็นต้องเก็บรักษาไว้ต่อไปภายหลังจากนั้นหากมีกฎหมายกำหนดหรืออนุญาตไว้ เช่น จัดเก็บไว้ตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน จัดเก็บไว้เพื่อวัตถุประสงค์ในการพิสูจน์ตรวจสอบกรณีอาจเกิดข้อพิพาทภายในอายุความตามที่กฎหมายกำหนดเป็นระยะเวลาไม่เกิน 10 ปี
ทั้งนี้ บริษัทฯ จะลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุถึงตัวตนของบุคคลได้เมื่อหมดความจำเป็นหรือสิ้นสุดระยะเวลาดังกล่าว
8. การรักษาความมั่นคงปลอดภัย
8.1. บริษัทฯ จะดำเนินการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม ทั้งมาตรการเชิงเทคนิค (Technical Measure) เช่น การกำหนดรหัสผ่าน การเข้ารหัส (Secure Sockets Layer/SSL) ระบบรักษาความปลอดภัยของอุปกรณ์เครือข่าย เป็นต้น และมาตรการเชิงบริหารจัดการ (Organizational Measure) การกำหนดนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ การรักษาความลับ กำหนดสิทธิเข้าถึง การประเมินและจัดการความเสี่ยง การกำหนดหลักเกณฑ์ ข้อบังคับ โดยมีการบังคับใช้มาตรการดังกล่าวอย่างเคร่งครัดและทบทวนปรับปรุงมาตรการทั้งสองอย่างสม่ำเสมอ หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความปลอดภัย ป้องกันการละเมิดข้อมูลส่วนบุคคล การสูญหาย การเข้าถึง ทำลาย ใช้ เปลี่ยนแปลง แก้ไข นำข้อมูลไปใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
8.2. พนักงาน บุคลากรทุกคนของบริษัทฯ มีหน้าที่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยคำนึงถึงการรักษาความปลอดภัยของข้อมูลส่วนบุคคลเป็นสำคัญ ไม่นำข้อมูลที่ได้รับมาจากการปฏิบัติงานไปใช้เพื่อวัตถุประสงค์อื่นหรือทำให้เกิดความเสียหายต่อบริษัทฯ
9. การละเมิดข้อมูลส่วนบุคคล
ในกรณีที่เกิดเหตุละเมิดข้อมูลส่วนบุคคลบริษัทฯ จะดำเนินการแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมง นับแต่เมื่อบริษัทฯ ทราบถึงเหตุละเมิดข้อมูลส่วนบุคคลดังกล่าว หรือกรณีที่การละเมิดข้อมูลส่วนบุคคลนั้นมีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูล บริษัทฯ จะดำเนินการแจ้งเหตุละเมิดพร้อมแนวทางเยียวยาเหตุละเมิดดังกล่าวให้เจ้าของข้อมูลทราบโดยไม่ชักช้า
10. สิทธิของเจ้าของข้อมูลส่วนบุคคล
สิทธิของเจ้าของข้อมูลเป็นสิทธิตามกฎหมาย โดยเจ้าของข้อมูลสามารถขอใช้สิทธิต่าง ๆ ได้ภายใต้ข้อกำหนดของกฎหมาย โดยบริษัทฯ จะดำเนินการตามคำร้องขอของเจ้าของข้อมูลโดยไม่ชักช้า ทั้งนี้หากมีกรณีที่บริษัทฯ ต้องปฏิเสธคำร้องขอ บริษัทฯ จะแจ้งเหตุแห่งการปฏิเสธให้เจ้าของข้อมูลรับทราบ
10.1 สิทธิขอเพิกถอนความยินยอม หากเจ้าของข้อมูลได้ให้ความยินยอมแก่บริษัทฯ ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล (ไม่ว่าจะเป็นความยินยอมที่เจ้าของข้อมูลให้ไว้ก่อนวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับหรือหลังจากนั้น) เจ้าของข้อมูลมีสิทธิที่จะถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลอยู่กับบริษัทฯ เว้นแต่มีข้อจำกัดสิทธินั้นโดยกฎหมายหรือมีสัญญาที่ให้ประโยชน์แก่ท่านอยู่ โดยบริษัทฯ จะแจ้งถึงผลกระทบที่อาจเกิดขึ้นจาการถอนความยินยอมดังกล่าวให้ท่านทราบ
10.2 สิทธิขอเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอเข้าถึงหรือขอรับสำเนาซึ่งข้อมูลส่วนบุคคลของตนที่อยู่ในความรับผิดชอบของบริษัทฯ รวมถึงขอให้บริษัทฯ เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่เจ้าของข้อมูลไม่ได้ให้ความยินยอม ทั้งนี้บริษัทฯ มีสิทธิปฏิเสธคำร้องขอ หากเป็นไปตามกฎหมายหรือคำสั่งศาล หรือการเข้าถึงหรือขอรับสำเนานั้นส่งผลกระทบต่อสิทธิเสรีภาพของบุคคลอื่น
10.3 สิทธิขอโอนย้ายข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอรับข้อมูลส่วนบุคคลในกรณีที่บริษัทฯ ได้จัดทำข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบให้สามารถอ่านหรือใช้งานได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิขอให้บริษัทฯ ส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และมีสิทธิขอรับข้อมูลส่วนบุคคลที่บริษัทฯ ส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่ไม่สามารถดำเนินการได้เพราะเหตุทางเทคนิค
ทั้งนี้ ข้อมูลส่วนบุคคลข้างต้นต้องเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลได้ให้ความยินยอมแก่บริษัทฯในการเก็บรวบรวม ใช้ และ/หรือเปิดเผย หรือเป็นข้อมูลส่วนบุคคลที่บริษัทฯ จำเป็นต้องเก็บรวบรวม ใช้ และ/หรือเปิดเผยเพื่อสามารถดำเนินการตามสัญญาได้ตามความประสงค์ หรือ เป็นข้อมูลส่วนบุคคลอื่นตามที่ผู้มีอำนาจตามกฎหมายกำหนด
10.4 สิทธิขอคัดค้านการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอคัดค้านการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลในเวลาใดก็ได้ หากเป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม หรือเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง หรือเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ สถิติ ทั้งนี้บริษัทฯ สามารถปฏิเสธคำร้องขอได้หากเป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัทฯ หรือกรณีที่บริษัทฯ แสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายสำคัญยิ่งกว่า หรือเพื่อก่อตั้ง การใช้สิทธิเรียกร้อง การปฏิบัติตามกฎหมาย
10.5 สิทธิขอให้ลบหรือทำลายข้อมูล เจ้าของข้อมูลมีสิทธิขอลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ หากเจ้าของข้อมูลเชื่อว่าข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ และ/หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายที่เกี่ยวข้อง หรือเห็นว่าบริษัทฯ ไม่มีความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่เกี่ยวข้องในนโยบายฉบับนี้ หรือเมื่อเจ้าของข้อมูลได้ใช้สิทธิขอถอนความยินยอมหรือใช้สิทธิขอคัดค้านตามที่แจ้งไว้ข้างต้นแล้ว
10.6 สิทธิขอให้ระงับการใช้ข้อมูล เจ้าของข้อมูลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลชั่วคราว ในกรณีที่บริษัทฯ อยู่ระหว่างตรวจสอบตามคำร้องขอใช้สิทธิขอแก้ไขข้อมูลส่วนบุคคลหรือขอคัดค้าน หรือกรณีอื่นใดที่บริษัทฯ ไม่มีความจำเป็นและต้องลบหรือทำลายข้อมูลส่วนบุคคลตามกฎหมายที่เกี่ยวข้อง
10.7 สิทธิขอให้แก้ไขข้อมูล เจ้าของข้อมูลขอแก้ไขข้อมูลส่วนบุคคล เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
11. บทกำหนดโทษ
ผู้มีหน้าที่รับผิดชอบในการดำเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของตน หากละเลย หรือละเว้นไม่สั่งการ หรือไม่ดำเนินการ หรือสั่งการ หรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตน อันเป็นการฝ่าฝืนนโยบาย และแนวปฏิบัติเกี่ยวกับเรื่องข้อมูลส่วนบุคคล จนเป็นเหตุให้เกิดความผิดตามกฎหมาย และ/หรือความเสียหายขึ้น ผู้นั้นต้องรับโทษทางวินัยตามระเบียบของบริษัทฯ โดยบริษัทฯ จะไม่ประนีประนอมให้กับความผิดใดๆ ที่ผู้ที่มีหน้าที่รับผิดชอบได้กระทำขึ้นและผู้นั้นต้องรับโทษทางกฎหมายตามความผิดที่เกิดขึ้น ทั้งนี้ หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัทฯ และ/หรือบุคคลอื่นใด บริษัทฯ อาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป
12. การทบทวนนโยบาย
บริษัทฯ จะทำการทบทวนนโยบายนี้อย่างน้อยปีละ 1 ครั้ง หรือกรณีที่กฎหมายมีการเปลี่ยนแปลงแก้ไข
ทั้งนี้ นโยบายฯ ดังกล่าว ให้มีผลตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป