1. บทนำ

บริษัท ทีเอที คอร์ปอเรชั่น จำกัด (มหาชน) และบริษัทในกลุ่ม (ต่อไปในนโยบายนี้เรียกว่า “บริษัท” ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและข้อมูลอื่นอันเกี่ยวกับเจ้าของข้อมูล (รวมเรียกว่า “ข้อมูล”) เพื่อให้เจ้าของข้อมูลสามารถเชื่อมั่นได้ว่า บริษัทมีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลของเจ้าของข้อมูลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) รวมถึงกฎหมายอื่นที่เกี่ยวข้อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) นี้จึงได้ถูกจัดทำขึ้นเพื่อชี้แจงแก่เจ้าของข้อมูลถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคลซึ่งดำเนินการโดยบริษัท รวมถึงเจ้าหน้าที่และบุคคลที่เกี่ยวข้องผู้ดำเนินการแทนหรือในนามของบริษัท โดยมีเนื้อหาสาระดังต่อไปนี้

2. ขอบเขตการบังคับใช้นโยบาย

นโยบายนี้ใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลซึ่งมีความสัมพันธ์กับบริษัทในปัจจุบันและที่อาจมีในอนาคต ซึ่งถูกประมวลผลข้อมูลส่วนบุคคลโดยบริษัท เจ้าหน้าที่ พนักงาน หน่วยธุรกิจหรือหน่วยงานรูปแบบอื่นที่ดำเนินการโดยบริษัทรวมถึงคู่สัญญาหรือบุคคลภายนอกที่ประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของบริษัท (“ผู้ประมวลผลข้อมูลส่วนบุคคล”) ภายใต้ผลิตภัณฑ์และบริการต่าง ๆ เช่น เว็บไซต์ ระบบแอปพลิเคชัน เอกสาร หรือบริการในรูปแบบอื่นที่ควบคุมดูแลโดยบริษัท (รวมเรียกว่า “บริการ”)

บุคคลที่มีความสัมพันธ์กับบริษัท ตามความในวรรคแรก รวมถึง

• ลูกค้าบุคคลธรรมดา
• เจ้าหน้าที่ผู้ปฏิบัติงาน หรือลูกจ้าง
• คู่ค้าและผู้ให้บริการซึ่งเป็นบุคคลธรรมดา
• กรรมการ ผู้รับมอบอำนาจ ผู้แทน ตัวแทน ผู้ถือหุ้น หรือบุคคลอื่นที่มีความสัมพันธ์ในรูปแบบเดียวกันของนิติบุคคลที่มีความสัมพันธ์กับบริษัท
• ผู้ใช้งานผลิตภัณฑ์หรือบริการของบริษัท
• ผู้เข้าชมหรือใช้งานเว็บไซต์ของบริษัท ระบบแอปพลิเคชัน อุปกรณ์ หรือช่องทางการสื่อสารอื่นซึ่งควบคุมดูแลโดยบริษัท
• บุคคลอื่นที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ผู้สมัครงาน ครอบครัวของเจ้าหน้าที่ ผู้ค้ำประกัน ผู้รับประโยชน์ในกรมธรรม์ประกันภัย เป็นต้น

ข้อ 1) ถึง 7) เรียกรวมกันว่า “เจ้าของข้อมูล”

นอกจากนโยบายฉบับนี้แล้ว บริษัทอาจกำหนดให้มีคำประกาศเกี่ยวกับความเป็นส่วนตัว (“ประกาศ”) สำหรับผลิตภัณฑ์หรือบริการของบริษัท เพื่อชี้แจงให้เจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้ใช้บริการได้ทราบถึงข้อมูลส่วนบุคคลที่ถูกประมวลผล วัตถุประสงค์ เหตุผลอันชอบด้วยกฎหมายในการประมวลผล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิในข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลพึงมีในผลิตภัณฑ์หรือบริการนั้นเป็นการเฉพาะเจาะจง

ทั้งนี้ ในกรณีที่มีความขัดแย้งกันในสาระสำคัญระหว่างความในประกาศเกี่ยวกับความเป็นส่วนตัวและนโยบายนี้ ให้ถือตามความในประกาศเกี่ยวกับความเป็นส่วนตัวของบริการนั้น

3. คำนิยาม

บริษัท หมายถึง บริษัท ทีเอที คอร์ปอเรชั่น จำกัด (มหาชน) และบริษัทในกลุ่ม

ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

ข้อมูลส่วนบุคคลอ่อนไหว หมายถึง ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา ปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

การประมวลผลข้อมูลส่วนบุคคล หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น เก็บรวบรวมสำเนา จัดระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน ทำลาย เป็นต้น

เจ้าของข้อมูลส่วนบุคคล หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม ใช้ หรือเปิดเผย

ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

4. แหล่งที่มาของข้อมูลส่วนบุคคล

บริษัทเก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูลดังต่อไปนี้

• ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการต่าง ๆ เช่น ขั้นตอนการสมัครงานลงทะเบียน ลงนามในสัญญา แบบสำรวจการใช้งานผลิตภัณฑ์/บริการ หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับบริษัท หรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดยบริษัท เป็นต้น
• ข้อมูลที่บริษัทเก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ผลิตภัณฑ์/บริการอื่นๆ ตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ ผลิตภัณฑ์/บริการของบริษัท ด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
• ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผย
• ข้อมูลแก่บริษัท เช่น การเชื่อมโยงบริการดิจิทัลของหน่วยงานอื่นสื่อสังคมออนไลน์ หรือผู้ให้บริการบนช่องทาง  อี-คอมเมิร์ซในการให้บริการเพื่อประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลเอง เป็นต้น

นอกจากนี้ ยังหมายความรวมถึงกรณีที่เจ้าของข้อมูลเป็นเจ้าของข้อมูลส่วนบุคคลของบุคคลภายนอกแก่บริษัท ดังนี้เจ้าของข้อมูลมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้หรือประกาศของผลิตภัณฑ์/บริการ ตามแต่กรณีให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้นหากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูลแก่บริษัท

 

5. ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล

บริษัทพิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามความเหมาะสมและตามบริบทของการให้บริการ ทั้งนี้ ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลที่บริษัทใช้ประกอบด้วย

ฐานกฎหมายในการเก็บรวบรวมข้อมูล	รายละเอียด
เพื่อการปฏิบัติหน้าที่ตามกฎหมาย	เพื่อให้บริษัทสามารถปฏิบัติตามที่กฎหมายกำหนด เช่น – การเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560   – กฎหมายว่าด้วยภาษีอากร รวมถึง การดำเนินการตามคำสั่งศาล เป็นต้น
เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย	เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทและของบุคคลอื่นซึ่งประโยชน์ดังกล่าวมีความสำคัญไม่น้อยไปกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เช่น เพื่อการรักษาความปลอดภัยอาคารสถานที่ของบริษัท หรือการประมวลผลข้อมูลส่วนบุคคลเพื่อกิจการภายในของบริษัท เป็นต้น
เป็นการจำเป็นเพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล	เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น ใช้ข้อมูลการรักษาเพื่อเฝ้าระวังโรคระบาดตามนโยบายของรัฐบาล เป็นต้น
เพื่อการปฏิบัติตามสัญญา	เพื่อให้บริษัทสามารถปฏิบัติหน้าที่ตามสัญญา หรือดำเนินการอันเป็นความจำเป็นต่อการเข้าทำสัญญาซึ่งเจ้าของข้อมูลเป็นคู่สัญญากับบริษัท เช่น การจ้างงาน การจ้างทำของ การทำบันทึกข้อตกลงความร่วมมือ สัญญาซื้อขาย สัญญาบริการ หรือสัญญาในรูปแบบอื่น เป็นต้น
เพื่อการจัดทำเอกสารประวัติ วิจัยหรือสถิติที่สำคัญ	เพื่อให้บริษัทสามารถจัดทำหรือสนับสนุนการจัดทำเอกสารประวัติ วิจัยหรือสถิติตามที่บริษัทอาจได้รับมอบหมาย เช่น การให้ข้อมูลแก่หน่วยงานราชการตามกฎหมาย เป็นต้น
ความยินยอม	เพื่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีที่ บริษัทจำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูล โดยได้มีการแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลก่อนการขอความยินยอมแล้ว เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวด้วยวัตถุประสงค์ที่ไม่เป็นไปตามข้อยกเว้นมาตรา 24 หรือ 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นต้น

ในกรณีที่บริษัทมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลเพื่อการปฏิบัติตามสัญญา การปฏิบัติหน้าที่ตามกฎหมาย หรือเพื่อความจำเป็นในการเข้าทำสัญญา หากเจ้าของข้อมูลปฏิเสธไม่ให้ข้อมูลส่วนบุคคล หรือคัดค้านการดำเนินการประมวลผลตามวัตถุประสงค์ของกิจกรรม อาจมีผลทำให้บริษัทไม่สามารถดำเนินการหรือให้บริการตามที่เจ้าของข้อมูลร้องขอได้ทั้งหมดหรือบางส่วน

6. ประเภทของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม

บริษัทอาจเก็บรวบรวมหรือได้มาซึ่งข้อมูลดังต่อไปนี้ซึ่งอาจรวมถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูล ทั้งนี้ขึ้นอยู่กับบริการที่เจ้าของข้อมูลใช้หรือบริบทความสัมพันธ์ที่เจ้าของข้อมูลมีกับบริษัท รวมถึงข้อพิจารณาอื่นที่มีผลกับการเก็บรวบรวมข้อมูลส่วนบุคคล โดยประเภทของข้อมูลที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการเก็บรวบรวมข้อมูลส่วนบุคคลของบริษัทเป็นการทั่วไป ทั้งนี้เฉพาะข้อมูลที่เกี่ยวข้องกับผลิตภัณฑ์/บริการที่เจ้าของข้อมูลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้

ประเภทข้อมูลส่วนบุคคล	รายละเอียดและตัวอย่าง
ข้อมูลเฉพาะตัวบุคคล	ข้อมูลระบุชื่อเรียกของเจ้าของข้อมูลหรือข้อมูลจากเอกสารราชการที่ระบุข้อมูลเฉพาะตัวของเจ้าของข้อมูล เช่น คำนำหน้าชื่อ, ชื่อ, นามสกุล, ชื่อกลาง, ชื่อเล่น ลายมือชื่อ, เลขที่บัตรประจำตัวประชาชน, สัญชาติ, เลขที่ใบขับขี่, เลขที่หนังสือเดินทาง, ข้อมูลทะเบียนบ้าน, หมายเลขใบอนุญาตการประกอบวิชาชีพ (สำหรับแต่ละอาชีพ), หมายเลขประจำตัวผู้ประกันตน, หมายเลขประกันสังคม เป็นต้น
ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล	ข้อมูลรายละเอียดเกี่ยวกับตัวเจ้าของข้อมูล เช่น วันเดือนปีเกิด, เพศ, ส่วนสูง น้ำหนัก, อายุ, สถานภาพการสมรส, สถานภาพการเกณฑ์ทหาร, รูปถ่าย ข้อมูลพฤติกรรม, ความชื่นชอบ เป็นต้น
ข้อมูลสำหรับการติดต่อ	ข้อมูลเพื่อการติดต่อเจ้าของข้อมูล เช่น เบอร์โทรศัพท์บ้าน, เบอร์โทรศัพท์เคลื่อนที่,  อีเมล, ที่อยู่ทางไปรษณีย์บ้าน, ชื่อผู้ใช้งานในสังคมออนไลน์ (Line ID) เป็นต้น
ข้อมูลเกี่ยวกับการทำงานและการศึกษา	รายละเอียดการจ้างงาน ประวัติการทำงาน และประวัติการศึกษา เช่น ประเภทการจ้างงาน, อาชีพ, ตำแหน่ง, หน้าที่, ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน, ข้อมูลบุคคลอ้างอิง, หมายเลขประจำตัวผู้เสียภาษี, ประวัติการดำรงตำแหน่ง, ข้อมูลเงินเดือน, วันเริ่มงาน, วันออกจากงาน,  ผลการประเมิน, ผลงาน, หมายเลขบัญชีธนาคาร สถาบันการศึกษา,  วุฒิการศึกษา, ผลการศึกษา, วันที่สำเร็จการศึกษา เป็นต้น
ข้อมูลเกี่ยวกับกรมธรรม์ประกันภัย	รายละเอียดเกี่ยวกับกรมธรรม์ประกันภัยผู้ปฏิบัติงาน เช่น ผู้รับประกันภัย, ผู้เอาประกันภัย, ผู้รับประโยชน์, หมายเลขกรมธรรม์ ประเภทกรมธรรม์, วงเงินคุ้มครอง, ข้อมูลเกี่ยวกับการเคลม เป็นต้น
ข้อมูลเกี่ยวกับความสัมพันธ์ทางสังคม	ข้อมูลความสัมพันธ์ทางสังคมของเจ้าของข้อมูล เช่น ความสัมพันธ์กับผู้ปฏิบัติงานของบริษัท, ข้อมูลการเป็นผู้มีสัญญาจ้างกับบริษัท, ข้อมูลการเป็นผู้มีส่วนได้เสียในกิจการที่ทำกับบริษัท เป็นต้น
ข้อมูลเกี่ยวกับการใช้บริการของบริษัท	รายละเอียดเกี่ยวกับผลิตภัณฑ์หรือบริการของบริษัท เช่น ชื่อบัญชีผู้ใช้งาน, รหัสผ่าน, หมายเลข PIN, ข้อมูล Single Sign-on (SSO ID) รหัส OTP, ข้อมูลการจราจรทางคอมพิวเตอร์, ข้อมูลระบุพิกัด, ภาพถ่าย วีดีโอ, บันทึกเสียง, ข้อมูลพฤติกรรมการใช้งาน (เว็บไซต์ที่อยู่ในความดูแลของบริษัทหรือแอปพลิเคชันต่าง ๆ ) ประวัติการสืบค้น, คุกกี้หรือเทคโนโลยีในลักษณะเดียวกัน, หมายเลขอุปกรณ์ (Device ID), ประเภทอุปกรณ์, ข้อมูล Browser, ระบบปฏิบัติการที่ใช้งาน เป็นต้น
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน	ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนของเจ้าของข้อมูล เช่น เชื้อชาติ, ข้อมูลศาสนา, ข้อมูลความพิการ, ข้อมูลความเห็นทางการเมือง, ประวัติอาชญากรรม, ข้อมูลชีวภาพ (ข้อมูลภาพจำลองใบหน้า, ลายนิ้วมือ) ข้อมูลเกี่ยวกับสุขภาพ เป็นต้น

7. คุกกี้

บริษัทเก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ความดูแลของบริษัท เช่น เว็บไซต์ของบริษัท หรือบนอุปกรณ์ของเจ้าของข้อมูลตามแต่บริการที่เจ้าของข้อมูลใช้งาน ทั้งนี้เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของบริษัท และเพื่อให้เจ้าของข้อมูลซึ่งเป็นผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดีในการใช้งาน ข้อมูลเหล่านี้จะถูกนำไปปรับปรุงเว็บไซต์ของบริษัทให้ตรงกับความต้องการของเจ้าของข้อมูลมากยิ่งขึ้น โดยเจ้าของข้อมูลสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บ     เบราว์เซอร์ (Web Browser) ของเจ้าของข้อมูล

8. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถและคนเสมือนไร้ความสามารถ

กรณีที่บริษัททราบว่าข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวมเป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ บริษัทจะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ทั้งนี้เป็นไปตามเงื่อนไขที่กฎหมายกำหนด

กรณีที่บริษัทไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่าบริษัทได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ดังนี้บริษัทจะดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้นโดยเร็ว หากบริษัทไม่มีเหตุอันชอบด้วยกฎหมายประการอื่นนอกเหนือจากความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าว

9. วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล

บริษัทดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลเพื่อวัตถุประสงค์หลายประการซึ่งขึ้นอยู่กับประเภทของผลิตภัณฑ์หรือบริการหรือกิจกรรมที่เจ้าของข้อมูลใช้บริการ ตลอดจนลักษณะความสัมพันธ์ของเจ้าของข้อมูลกับบริษัท หรือข้อพิจารณาในแต่ละบริบทเป็นสำคัญ โดยวัตถุประสงค์ที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการใช้ข้อมูลส่วนบุคคลของบริษัทเป็นการทั่วไป ทั้งนี้เฉพาะวัตถุประสงค์ที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่เจ้าของข้อมูลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้กับข้อมูลของเจ้าของข้อมูล

• เพื่อดำเนินการตามที่จำเป็นในการดำเนินธุรกิจ
• เพื่อให้บริการบริหารจัดการบริการของบริษัท ปรับปรุงคุณภาพของสินค้าและบริการให้สอดคล้องกับความต้องการของลูกค้า
• เพื่อการดำเนินการทางธุรกรรมของบริษัท
• ควบคุมดูแล ใช้งาน ติดตาม ตรวจสอบบริหารจัดการบริการเพื่ออำนวยความสะดวกและสอดคล้องกับความต้องการของเจ้าของข้อมูล
• เพื่อเก็บรักษาและปรับปรุงข้อมูลอันเกี่ยวกับเจ้าของข้อมูลรวมทั้งเอกสารที่มีการกล่าวอ้างถึงเจ้าของข้อมูล
• จัดทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
• วิเคราะห์ข้อมูล รวมถึงแก้ไขปัญหาที่เกี่ยวกับบริการของบริษัท
• เพื่อดำเนินการตามที่จำเป็นในการบริหารจัดการภายในองค์กร รวมถึงการรับสมัครงาน การสรรหากรรมการหรือผู้ดำรงตำแหน่งต่าง ๆ การประเมินคุณสมบัติ
• ป้องกัน ตรวจจับ หลีกเลี่ยงตรวจสอบการฉ้อโกง การละเมิดความปลอดภัยหรือการกระทำที่ต้องห้ามหรือผิดกฎหมาย และอาจเกิดความเสียหายทั้งต่อบริษัทและเจ้าของข้อมูลส่วนบุคคล
• การยืนยันตัวตน พิสูจน์ตัวตนและตรวจสอบข้อมูลเมื่อเจ้าของข้อมูลสมัครใช้บริการของบริษัท หรือติดต่อใช้บริการหรือใช้สิทธิตามกฎหมาย
• ปรับปรุงและพัฒนาคุณภาพผลิตภัณฑ์และบริการให้ทันสมัย
• การประเมินและบริหารจัดการความเสี่ยง
• ส่งการแจ้งเตือน การยืนยันการทำคำสั่ง ติดต่อสื่อสารและแจ้งข่าวสารไปยังเจ้าของข้อมูล
• เพื่อจัดทำและส่งมอบเอกสารหรือข้อมูลที่มีความเกี่ยวข้องและจำเป็น
• ยืนยันตัวตน ป้องกันการสแปมหรือการกระทำที่ไม่ได้รับอนุญาต หรือผิดกฎหมาย
• ตรวจสอบว่าเจ้าของข้อมูลส่วนบุคคลเข้าถึงและใช้บริการของบริษัทอย่างไร ทั้งในภาพรวมและรายบุคคล เพื่อวัตถุประสงค์ที่เกี่ยวกับการค้นคว้าและการวิเคราะห์
• ดำเนินการตามที่จำเป็นเพื่อปฏิบัติตามหน้าที่ที่บริษัทมีต่อหน่วยงานที่มีอำนาจควบคุม หน่วยงานด้านภาษี การบังคับใช้กฎหมาย หรือภาระผูกพันตามกฎหมายของบริษัท
• ดำเนินการตามที่จำเป็นเพื่อประโยชน์ที่ชอบด้วยกฎหมายของบริษัทหรือของบุคคลอื่น หรือของนิติบุคคลอื่นที่เกี่ยวข้องกับการการดำเนินการของบริษัท
• ป้องกันหรือหยุดยั้งอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลรวมถึงการเฝ้าระวังโรคระบาด
• จัดเตรียมเอกสารทางประวัติเพื่อประโยชน์สาธารณะ การค้นคว้า หรือจัดทำสถิติที่บริษัทได้รับมอบหมายให้ดำเนินการ
• เพื่อการปฏิบัติตามกฎหมาย ประกาศ คำสั่งที่มีผลบังคับใช้ หรือการดำเนินการเกี่ยวกับคดีความ การดำเนินการเกี่ยวกับข้อมูลตามหมายศาล รวมถึงการใช้สิทธิเกี่ยวกับข้อมูลของเจ้าของข้อมูล
• การบันทึกภาพจำลองลายนิ้วมือหรือบันทึกใบหน้า มีวัตถุประสงค์เพื่อใช้ในการยืนยันตัวตนในการบันทึกเวลาการเข้าออกพื้นที่ทำงานของบริษัทและเพื่อรักษาความปลอดภัยของพนักงานและบริษัท

10. ประเภทบุคคลที่บริษัทเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล

ภายใต้วัตถุประสงค์ที่ได้ระบุไว้ในข้อ 9 ข้างต้นบริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้แก่บุคคลดังต่อไปนี้ ทั้งนี้ประเภทของบุคคลผู้รับข้อมูลที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการเปิดเผยข้อมูลส่วนบุคคลของบริษัทเป็นการทั่วไป เฉพาะบุคคลผู้รับข้อมูลที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่เจ้าของข้อมูลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้

ประเภทบุคคลผู้รับข้อมูล	รายละเอียด
หน่วยงานราชการที่บริษัทต้องเปิดเผยข้อมูลเพื่อวัตถุประสงค์ในการดำเนินการตามกฎหมายหรือวัตถุประสงค์สำคัญอื่น	หน่วยงานผู้บังคับใช้กฎหมายหรือมีอำนาจควบคุมกำกับดูแล หรือมีวัตถุประสงค์อื่นที่มีความสำคัญ เช่น กรมสรรพากร ศาล สำนักงานประกันสังคม กองทุนเงินให้กู้ยืมเพื่อการศึกษา เป็นต้น
คณะกรรมการต่าง ๆ ที่เกี่ยวข้องกับการดำเนินการตามกฎหมายของบริษัท	บริษัทอาจเปิดเผยข้อมูลของเจ้าของข้อมูลแก่บุคคลผู้ดำรงตำแหน่งกรรมการในคณะต่าง ๆ เช่น คณะกรรมการสรรหาและค่าตอบแทน เป็นต้น
คู่สัญญาซึ่งดำเนินการเกี่ยวกับสวัสดิการของผู้ปฏิบัติงานของบริษัท	บุคคลภายนอกที่บริษัทจัดซื้อจัดจ้างให้ดำเนินการเกี่ยวกับสวัสดิการ เช่น บริษัทประกันภัย โรงพยาบาล บริษัทผู้จัดทำเงินเดือน (Payroll) ธนาคาร  ผู้ให้บริการโทรศัพท์ เป็นต้น
พันธมิตรทางธุรกิจ/คู่ค้า	บริษัทอาจเปิดเผยข้อมูลของเจ้าของข้อมูลแก่บุคคลที่ร่วมงานกับบริษัทเพื่อประโยชน์ในการให้บริการแก่เจ้าของข้อมูล เช่น ผู้ให้บริการด้านการตลาด สื่อโฆษณา สถาบันการเงิน ผู้ให้บริการแพลตฟอร์ม ผู้ให้บริการโทรคมนาคม เป็นต้น
ผู้ให้บริการ	บริษัทอาจมอบหมายให้บุคคลอื่นเป็นผู้ให้บริการแทน หรือสนับสนุนการดำเนินการของบริษัท เช่น ผู้ให้บริการด้านการจัดเก็บข้อมูล (เช่น คลาวด์) ผู้พัฒนาระบบซอฟต์แวร์ แอปพลิเคชัน เว็บไซต์ ผู้ให้บริการด้านการชำระเงิน ผู้ให้บริการอินเทอร์เน็ต ผู้ให้บริการโทรศัพท์ผู้ให้บริการสื่อสังคมออนไลน์ ผู้ให้บริการด้านการบริหารความเสี่ยง ที่ปรึกษาภายนอก ผู้ให้บริการขนส่ง เป็นต้น
ผู้รับข้อมูลประเภทอื่น	บริษัทอาจเปิดเผยข้อมูลของเจ้าของข้อมูลให้แก่บุคคลผู้รับข้อมูลประเภทอื่น เช่น ผู้ติดต่อบริษัท สมาชิกในครอบครัว มูลนิธิที่ไม่แสวงหากำไร  โรงพยาบาล หรือหน่วยงานอื่น ๆ เป็นต้น ทั้งนี้ เพื่อการดำเนินการเกี่ยวกับบริการของบริษัท การฝึกอบรม เป็นต้น
การเปิดเผยข้อมูลต่อสาธารณะ	บริษัทอาจเปิดเผยข้อมูลของเจ้าของข้อมูลต่อสาธารณะในกรณีที่จำเป็น

11. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

ในบางกรณีบริษัทอาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่เจ้าของข้อมูล เช่น เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์ (Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (Server) อยู่ต่างประเทศ เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย ทั้งนี้ขึ้นอยู่กับบริการของบริษัทที่เจ้าของข้อมูลใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม

อย่างไรก็ตาม ในขณะที่จัดทำนโยบายฉบับนี้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังมิได้มีประกาศกำหนดรายการประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ดังนี้ เมื่อบริษัทมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปยังประเทศปลายทาง บริษัทจะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล หรือดำเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย ได้แก่

• เป็นการปฏิบัติตามกฎหมายที่กำหนดให้บริษัทต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
• ได้แจ้งให้เจ้าของข้อมูลทราบและได้รับความยินยอมจากเจ้าของข้อมูลในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด
• เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญากับบริษัท หรือเป็นการทำตามคำขอของเจ้าของข้อมูลก่อนการเข้าทำสัญญานั้น
• เป็นการกระทำตามสัญญาของบริษัทกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูล
• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลหรือของบุคคลอื่น เมื่อเจ้าของข้อมูลไม่สามารถให้ความยินยอมในขณะนั้นได้
• เป็นการจำเป็นเพื่อดำเนินประโยชน์สาธารณะที่สำคัญ

12. ระยะเวลาในการเก็บรวบรวมและการทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูล

บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ตามรายละเอียดที่ได้กำหนดไว้ในนโยบาย ประกาศหรือตามกฎหมายที่เกี่ยวข้อง ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลของเจ้าของข้อมูลสิ้นความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้ว บริษัทจะทำการลบ ทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูล หรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลไม่สามารถระบุตัวตนได้ต่อไป ตามรูปแบบและมาตรฐานการลบทำลายข้อมูลส่วนบุคคลที่คณะกรรมการหรือกฎหมายจะได้ประกาศกำหนดหรือตามมาตรฐานสากล อย่างไรก็ดี ในกรณีที่มีข้อพิพาท การใช้สิทธิหรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคลของเจ้าของข้อมูล บริษัทขอสงวนสิทธิในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด

บริษัทจะลบหรือทำลายข้อมูลส่วนบุคคล ด้วยวิธีดังต่อไปนี้

– เมื่อครบกำหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล คณะทำงานคุ้มครองข้อมูลส่วนบุคคลจะเป็นผู้เฝ้าติดตามและตรวจสอบการสิ้นสุดของระยะเวลาดังกล่าว โดยส่งเรื่องให้แก่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลพิจารณาอนุมัติการทำลาย

– เมื่อเจ้าของข้อมูลใช้สิทธิในการขอลบหรือทำลายข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะเป็นผู้พิจารณาอนุมัติการทำลาย

เมื่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอนุมัติให้ทำลายแล้ว คณะทำงานคุ้มครองข้อมูลส่วนบุคคลจึงจะดำเนินการลบหรือทำลาย กรณีที่จัดเก็บข้อมูลในรูปแบบเอกสารจะทำลายด้วยวิธีใช้เครื่องย่อยเอกสาร หรือกรณีข้อมูลที่จัดเก็บในรูปแบบอิเล็กทรอนิกส์จะลบออกจากระบบและจากไดรฟ์เครือข่าย หรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลเป็นข้อมูลที่ไม่สามารถระบุตัวเจ้าของข้อมูลได้ เว้นแต่จะเป็นกรณีที่บริษัทสามารถเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวได้ต่อไปตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องกำหนด

เมื่อดำเนินการลบหรือทำลายแล้ว คณะทำงานคุ้มครองข้อมูลส่วนบุคคลจะแจ้งผลการลบหรือทำลายแก่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พร้อมแนบหลักฐานการทำลาย

13. การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง

บริษัทอาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของบริษัท ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ เช่น การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็นผู้ให้บริการคลาวด์ (Cloud computing service/provider) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น

การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น บริษัทจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่บริษัทมอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่บริษัทมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของบริษัทเท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้

ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล บริษัทจะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วงในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างบริษัทกับผู้ประมวลผลข้อมูลส่วนบุคคล

 

14. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

บริษัทมีมาตรการปกป้องข้อมูลส่วนบุคคลโดยการจำกัดสิทธิการเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของบริษัทอย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่ โดยบริษัทมีมาตรการรักษาความปลอดภัยข้อมูลทั้งในเชิงองค์กรหรือเชิงเทคนิคที่ได้มาตรฐานสากล และเป็นไปตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

นอกจากนี้เมื่อบริษัทมีการส่ง โอน หรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามพันธกิจ ตามสัญญา หรือข้อตกลงในรูปแบบอื่น บริษัทจะกำหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนด เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ

15. การเชื่อมต่อเว็บไซต์หรือบริการภายนอก

บริการของบริษัทอาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลที่สาม ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีการประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีเนื้อหาสาระแตกต่างจากนโยบายนี้ บริษัทขอแนะนำให้เจ้าของข้อมูลศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการนั้น ๆ เพื่อทราบในรายละเอียดก่อนการเข้าใช้งาน ทั้งนี้บริษัทไม่มีความเกี่ยวข้องและไม่มีอำนาจควบคุมถึงมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดังกล่าวและไม่สามารถรับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์หรือบริการของบุคคลที่สาม

16. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

บริษัทได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อทำหน้าที่ตรวจสอบ กำกับและให้คำแนะนำในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงการประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

17. สิทธิของเจ้าของข้อมูลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ โดยรายละเอียดของสิทธิต่าง ๆ ประกอบด้วย

• สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิขอเข้าถึง รับสำเนาและขอให้เปิดเผยที่มาของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมไว้โดยปราศจากความยินยอมของเจ้าของข้อมูล เว้นแต่กรณีที่บริษัทมีสิทธิปฏิเสธคำขอของเจ้าของข้อมูลด้วยเหตุตามกฎหมายหรือคำสั่งศาล หรือกรณีที่การใช้สิทธิของเจ้าของข้อมูลจะมีผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
• สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน หากเจ้าของข้อมูลพบว่าข้อมูลส่วนบุคคลของเจ้าของข้อมูลไม่ถูกต้อง ไม่ครบถ้วนหรือไม่เป็นปัจจุบัน เจ้าของข้อมูลมีสิทธิขอให้แก้ไขเพื่อให้มีความถูกต้อง เป็นปัจจุบัน สมบูรณ์และไม่ก่อให้เกิดความเข้าใจผิดได้
• สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอให้บริษัทลบหรือทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลหรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ต่อไป ทั้งนี้การใช้สิทธิลบหรือทำลายข้อมูลส่วนบุคคลนี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด
• สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูล ในกรณีดังต่อไปนี้
• เมื่ออยู่ในช่วงเวลาที่บริษัททำการตรวจสอบตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน
• ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้หรือเปิดเผยโดยมิชอบด้วยกฎหมาย
• เมื่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่บริษัทได้แจ้งในการเก็บรวบรวม แต่เจ้าของข้อมูลส่วนบุคคลประสงค์ให้บริษัทเก็บรักษาข้อมูลนั้นต่อไปเพื่อประกอบการใช้สิทธิตามกฎหมาย
• เมื่ออยู่ในช่วงเวลาที่บริษัทกำลังพิสูจน์ถึงเหตุอันชอบด้วยกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือตรวจสอบความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะ อันเนื่องมาจากการที่เจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูล เว้นแต่กรณีที่บริษัทมีเหตุในการปฏิเสธคำขอโดยชอบด้วยกฎหมาย (เช่น บริษัทสามารถแสดงให้เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลมีเหตุอันชอบด้วยกฎหมายยิ่งกว่า หรือเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือเพื่อประโยชน์สาธารณะของบริษัท)
• สิทธิในการขอถอนความยินยอมในกรณีที่เจ้าของข้อมูลได้ให้ความยินยอมแก่บริษัทในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (ไม่ว่าความยินยอมนั้นจะได้ให้ไว้ก่อนหรือหลังพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับ) เจ้าของข้อมูลมีสิทธิถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลถูกเก็บรักษาโดยบริษัท เว้นแต่มีข้อจำกัดสิทธิโดยกฎหมายให้บริษัทจำเป็นต้องเก็บรักษาข้อมูลต่อไปหรือยังคงมีสัญญาระหว่างเจ้าของข้อมูลกับบริษัทที่ให้ประโยชน์แก่เจ้าของข้อมูลอยู่
• สิทธิในการขอรับ ส่งหรือโอนข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิในการขอรับข้อมูลส่วนบุคคลของเจ้าของข้อมูลจากบริษัทในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยวิธีการอัตโนมัติ รวมถึงอาจขอให้บริษัทส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ทั้งนี้การใช้สิทธินี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด

 

18. โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล

การไม่ปฏิบัติตามนโยบายอาจมีผลเป็นความผิดและถูกลงโทษทางวินัยตามกฎเกณฑ์ของบริษัท (สำหรับเจ้าหน้าที่หรือผู้ปฏิบัติงานของบริษัท) หรือตามข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (สำหรับผู้ประมวลผลข้อมูลส่วนบุคคล) ทั้งนี้ตามแต่กรณีและความสัมพันธ์ที่เจ้าของข้อมูลมีต่อบริษัท และอาจได้รับโทษตามที่กำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งกฎหมายลำดับรอง กฎ ระเบียบ คำสั่งที่เกี่ยวข้อง

19. การร้องเรียนต่อหน่วยงานผู้มีอำนาจกำกับดูแล

ในกรณีที่เจ้าของข้อมูลพบว่า บริษัทมิได้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิร้องเรียนไปยังคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานที่มีอำนาจกำกับดูแลที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือตามกฎหมาย ทั้งนี้ก่อนการร้องเรียนดังกล่าวบริษัทขอให้เจ้าของข้อมูลโปรดติดต่อมายังบริษัท เพื่อให้บริษัทมีโอกาสได้รับทราบข้อเท็จจริงและได้ชี้แจงในประเด็นต่าง ๆ รวมถึงจัดการแก้ไขข้อกังวลของเจ้าของข้อมูลก่อน

20. ผลกระทบของการเพิกถอนความยินยอม

การเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคล จะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคล ซึ่งบริษัทได้ประมวลผลไปแล้วก่อนที่จะมีการเพิกถอนความยินยอม

กรณีที่มีการเพิกถอนความยินยอมตามความประสงค์ของเจ้าของข้อมูล ส่งผลกระทบต่อข้อจำกัดในการเสนอสินค้า/บริการ การทำธุรกรรม และ/หรือนิติกรรมใด ๆ ของบริษัทที่มีต่อเจ้าของข้อมูล กรณีเช่นนี้บริษัทย่อมหลุดพ้นในความเสียหายใด ๆ อันเนื่องมาจากการเพิกถอนความยินยอมดังกล่าว

 

21. การปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล

บริษัทอาจพิจารณาปรับปรุง แก้ไขหรือเปลี่ยนแปลงนโยบายนี้ตามที่เห็นสมควร และจะทำการแจ้งให้เจ้าของข้อมูลทราบผ่านช่องทางเว็บไซต์ของบริษัท โดยมีวันที่มีผลบังคับใช้ของแต่ละฉบับแก้ไขกำกับอยู่ อย่างไรก็ดี บริษัทขอแนะนำให้เจ้าของข้อมูลโปรดตรวจสอบเพื่อรับทราบนโยบายฉบับใหม่อย่างสม่ำเสมอ ผ่านแอปพลิเคชัน หรือช่องทางเฉพาะกิจกรรมที่บริษัทดำเนินการ โดยเฉพาะก่อนที่เจ้าของข้อมูลจะทำการเปิดเผยข้อมูลส่วนบุคคลแก่บริษัท

การเข้าใช้งานผลิตภัณฑ์หรือบริการของบริษัทภายหลังการบังคับใช้นโยบายใหม่ ถือเป็นการรับทราบตามข้อตกลงในนโยบายใหม่แล้ว ทั้งนี้โปรดหยุดการเข้าใช้งานหากเจ้าของข้อมูลไม่เห็นด้วยกับรายละเอียดในนโยบายฉบับนี้และโปรดติดต่อมายังบริษัทเพื่อชี้แจงข้อเท็จจริงต่อไป

22. การติดต่อสอบถามหรือใช้สิทธิ

หากเจ้าของข้อมูลมีข้อสงสัย ข้อเสนอแนะหรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของ บริษัทหรือเกี่ยวกับนโยบายนี้ หรือเจ้าของข้อมูลต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถติดต่อสอบถามได้ที่

• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)

– สถานที่ติดต่อ: เลขที่ 51 อาคารเมเจอร์ ทาวเวอร์ พระราม 9 – รามคำแหง ชั้นที่ 14 ห้องเลขที่ ออฟฟิศ 1- 4

  ถนนพระราม 9 กรุงเทพมหานคร

– ช่องทางการติดต่อ: dpo@TATCORP.CO.TH

– หมายเลขโทรศัพท์: 02-026-6424 ต่อ 914

• ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

– ชื่อ: บริษัท ทีเอที คอร์ปอเรชั่น จำกัด (มหาชน)

– สถานที่ติดต่อ: เลขที่ 51 อาคารเมเจอร์ ทาวเวอร์ พระราม 9 – รามคำแหง ชั้นที่ 14 ห้องเลขที่ ออฟฟิศ 1- 4  ถนนพระราม 9 กรุงเทพมหานคร

– ช่องทางการติดต่อ: info@tatcorp.co.th

– หมายเลขโทรศัพท์: 02-026-6424

โดยมีผลบังคับใช้ตั้งแต่วันที่ 27 พฤศจิกายน 2566 เป็นต้นไป

นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)