นโยบายความเป็นส่วนตัว

นโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy)

หมวดที่ 1

บททั่วไป

บริษัท บีทีเอ็น พร็อพเพอร์ตี้ จำกัด และบริษัท ในเครือ บริษัท บัวทองธานี เเมเนจเม้นท์ จำกัด และบริษัท บัวทองธานี บ้านเเละที่ดิน จำกัด (เรียกว่า “บริษัท”) ตระหนักถึงความสำคัญของการ คุ้มครองข้อมูลส่วนบุคคล เนื่องจากการคุ้มครองข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของการรับผิดชอบต่อสังคมและเป็น รากฐานในการสร้างความสัมพันธ์ทางธุรกิจที่น่าเชื่อถือ บริษัทฯ จึงออกนโยบายฉบับนี้ขึ้นเพื่อกำหนดกรอบการคุ้มครอง ข้อมูลส่วนบุคคลในกระบวนการต่างๆของบริษัทฯ เพื่อให้พนักงานและบุคคลที่เกี่ยวข้องของบริษัทฯยึดถือและปฏิบัติตาม ให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล”) และมาตรฐานที่ กำหนดไว้

1.นิยาม

 

2. กฎหมายที่บังคับใช้

บริษัทฯได้กำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น เพื่อเป็นแนวปฏิบัติ ซึ่งอยู่ภายใต้บังคับขอ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ตลอดจนประกาศ และระเบียบอื่นที่เกี่ยวข้อง

3. หลักการและแนวปฏิบัติในการประมวลผลข้อมูลส่วนบุคคล

บริษัทฯได้กำหนดหลักการและแนวปฏิบัติในการประวลผลข้อมูลส่วนบุคคล เพื่อใช้เป็นแนวทางปฏิบัติ เพื่อให้มั่นใจได้ว่าการประมวลข้อมูลส่วนบุคคลจะเป็นไปตามที่กฎหมายกำหนด โดยสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทย หรือ GDPR ในสากล

3.1. หลักการในการประมวลผลข้อมูลส่วนบุคคล

1) ความชอบธรรม โปร่งใส และเป็นธรรม (Lawfulness, Fairness, and Transparency)

บริษัทฯ จะประมวลผลข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย มีความโปร่งใส และเป็นธรรมต่อเจ้าของข้อมูล

2) การเก็บรวบรวมตามวัตถุประสงค์ที่ชัดเจน (Purpose Limitation)

บริษัทฯ จะเก็บรวบรวมข้อมูลเฉพาะที่จำเป็นตามวัตถุประสงค์ที่ได้ระบุไว้อย่างชัดเจน และจะไม่ใช้ข้อมูลนอกเหนือจากวัตถุประสงค์นั้น เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูล

3) แจ้งเจ้าของข้อมูลก่อนเก็บ(Transparency)

บริษัทฯมีหน้าที่ต้องแจ้งวัตถุประสงค์ ผู้ควบคุมข้อมูล การส่งหรือโอนข้อมูลให้บุคคลที่สาม (ถ้ามี) และสิทธิ ของเจ้าของข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลส่วนบุคคลได้ทราบก่อน หรือในเวลาที่มีการเก็บรวบรวม ข้อมูลส่วนบุคคล โดยบริษัทฯจะเผยแพร่นโยบายคุ้มครองข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลส่วนบุคคล และบุคคล ทั่วไปสามารถเข้าไปดูได้

4) ความถูกต้องของข้อมูล (Accuracy)

บริษัทฯ จะดำเนินการให้แน่ใจว่าข้อมูลส่วนบุคคลมีความถูกต้อง สมบูรณ์ และเป็นปัจจุบัน โดยเปิดโอกาสให้เจ้าของข้อมูลสามารถแก้ไขข้อมูลได้

5) การเก็บรักษาอย่างจำกัดเวลา (Storage Limitation)

บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลไว้เท่าที่จำเป็นตามวัตถุประสงค์ และตามระยะเวลาที่กฎหมายกำหนดเท่านั้น

6) การรักษาความมั่นคงปลอดภัยของข้อมูล (Integrity and Confidentiality)

บริษัทฯ จะใช้มาตรการทางเทคนิคที่เหมาะสม เพื่อรักษาความปลอดภัยของข้อมูลส่วนบุคคลไม่ให้รั่วไหล เข้าถึง แก้ไข หรือทำลายโดยไม่ได้รับอนุญาต

7) ความรับผิดชอบ (Accountability)

บริษัทฯ มีหน้าที่และความรับผิดชอบในการดำเนินการให้เป็นไปตามหลักการดังกล่าว และสามารถแสดงหลักฐานความสอดคล้องได้ตามที่กฎหมายกำหนด

8) การเคารพสิทธิของเจ้าของข้อมูล(Protection of Data Subject Rights)

บริษัทฯ จะเคารพสิทธิของเจ้าของข้อมูล เช่น สิทธิในการเข้าถึง แก้ไข ลบ หรือถอนความยินยอม และจะมีช่องทางให้ติดต่อเมื่อมีคำร้องขอ

3.2. แนวปฏิบัติการประมวลผลข้อมูลส่วนบุคคล

บริษัทฯได้กำหนดแนวปฏิบัติการประมวลผลข้อมูลให้ครอบคลุมทั้งกระบวนการเป็นไปตามที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนด ดังนี้

1) การเก็บรวบรวมข้อมูลส่วนบุคคล

ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทำภายใต้วัตถุประสงค์ และเก็บรวบรวมเท่าที่จำเป็นตามกรอบวัตถุประสงค์ หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวมอันชอบด้วยกฎหมาย โดยต้องแจ้งให้เจ้าของข้อมูลทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลเกี่ยวกับรายละเอียด ในการเก็บรวบรวมเว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว ดังนี้

• • • วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำไปใช้หรือเปิดเผย ซึ่งรวมถึงวัตถุประสงค์ตามที่กฎหมายให้อำนาจในการจัดเก็บรวบรวมได้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
    • ข้อมูลส่วนบุคคลที่จะมีการเก็บ รวบรวม และระยะเวลาในการเก็บรวบรวมไว้
    • กรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคล เพื่อปฏิบัติตามกฎหมายหรือสัญญา หรือเพื่อเข้าทำสัญญาโดยต้องแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบด้วย
    • ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจถูกเปิดเผย
    • ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ รวมถึงตัวแทนด้วย (ถ้ามี)
    • สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายการเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ยกเว้นตามที่กฎหมายกำหนดให้กระทำได้ เช่น ข้อมูลทั่วไปที่ไม่ต้องได้รับการยินยอมเป็นไปตามฐานสัญญาหรือเป็นไปตามที่กฎหมายกำหนด เช่น การส่งข้อมูลการจ่ายค่าจ้างให้กรมสรรพากร หรือข้อมูลอ่อนไหวที่ไม่ต้องได้รับความยินยอม เช่น ข้อมูลสุขภาพในการป้องกันโรคติดต่อ

2) การใช้หรือเปิดเผยข้อมูล

การใช้หรือเปิดเผยข้อมูลส่วนบุคคล ต้องดำเนินการให้เป็นไปตามวัตถุประสงค์ หรือตามความจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวม และต้องได้รับความยินยอมจากเจ้าของข้อมูลที่ให้ไว้ก่อน หรือขณะนั้นยกเว้นตามที่กฎหมายกำหนดให้ใช้ หรือเปิดเผยได้ เช่นเป็นข้อมูลที่เปิดเผยต่อสาธารณะโดยชอบด้วยกฎหมาย เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพ เป็นต้น

4.นโยบายการรักษาความปลอดภัยข้อมูล

บริษัทมีผู้ควบคุมข้อมูล ที่สามารถเข้าถึงข้อมูลและจะไม่เผยแพร่ ลบ แก้ไข และทำลาย หากไม่ได้รับความยินยอมและ ผู้ควบคุมข้อมูลต้องจัดให้มีมาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลจากการเข้าถึง การเปิดเผย การแก้ไข หรือการทำลายที่ไม่ได้รับอนุญาต รวมถึงป้องกันความเสี่ยงจากภัยคุกคามทางไซเบอร์และความผิดพลาดของระบบ และมีระบบสนองต่อคำร้องขอของเจ้าของข้อมูล มีช่องทางและกระบวนการที่ชัดเจนสำหรับเจ้าของข้อมูลในการยื่นคำร้อง เช่น ขอเข้าถึง แก้ไข หรือลบข้อมูล และต้องดำเนินการตามคำร้องอย่างรวดเร็วและโปร่งใส

5.วิธีการได้มาซึ่งข้อมูล

เพื่อให้สอดคล้องกับข้อกฎหมาย บริษัทฯ จะจัดเก็บรวบรวมข้อมูลส่วนบุคคลตามแนวปฏิบัติข้อที่ 3.2 ด้วยกระบวนการดังต่อไปนี้

5.1. ข้อมูลส่วนบุคคลที่ได้รับจากเจ้าของข้อมูลส่วนบุคคลโดยตรง

5.2. ข้อมูลส่วนบุคคลที่ได้รับจากบริษัทในเครือ

5.3. ข้อมูลส่วนบุคคลจากบุคคลที่สาม เช่น บริษัทฯตัวแทนจัดหางาน เป็นต้น

5.4. ข้อมูลส่วนบุคคลที่ได้รับจากการเข้าเยี่ยมชมเว็ปไซต์ เช่น ชื่อของผู้ให้บริการอินเทอร์เน็ต และที่อยู่ไอพี (IP Address) ผ่านการเข้าใช้อินเทอร์เน็ต วันที่และเวลาของการเข้าเยี่ยมชมเว็บไซต์ หน้าเพจที่เข้าเยี่ยมชมขณะเข้าเว็บไซต์ และที่อยู่ของเว็บไซต์ ซึ่งเชื่อมโยงโดยตรงกับเว็บไซต์ของบริษัทฯ

5.5. พฤติกรรมการใช้งานแอปพลิเคชั่น โดยจะมีการเก็บ log การใช้งานจากบนแอปพลิเคชั่นของทางบริษัทฯ

5.6. ข้อมูลส่วนบุคคลที่ได้รับจากข้อมูลสาธารณะ (Public Records) และที่ไม่ใช่สาธารณะ (Non-Public Recordsที่บริษัทฯ มีสิทธิเก็บรวบรวมได้ตามกฎหมาย

5.7. ข้อมูลส่วนบุคคลที่ได้รับจากหน่วยงานภาครัฐหรือหน่วยงานกำกับดูแลที่ใช้อำนาจตามกฎหมายทั้งนี้ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่สามารถกระทำได้โดยชอบด้วยกฎหมาย

6.การรักษาความมั่นคงปลอดภัยและความลับของข้อมูลส่วนบุคคล

เพื่อให้เจ้าของข้อมูลส่วนบุคคลมีความมั่นใจในการบริหารจัดการข้อมูลส่วนบุคคลของบริษัทฯ ในการป้องกันความเสี่ยงอันอาจทำให้ข้อมูลส่วนบุคคลถูกเข้าถึงโดยมิชอบ รั่วไหล ถูกเปลี่ยนแปลงแก้ไข สูญหาย บริษัทฯจึงได้สร้างความตระหนักด้านความมั่นคงปลอดภัยสารสนเทศ รวมทั้งปฏิบัติตามมาตรฐานสากลด้านการรักษาความปลอดภัยสารสนเทศที่เป็นที่ยอมรับและการบริหารความต่อเนื่องทางธุรกิจ และเป็นไปตามที่กฎหมายกำหนด

บริษัทฯ มีมาตรการปกป้องความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล โดยการจำกัดสิทธิการเข้าถึงข้อมูลส่วนบุคคล จะกำหนดให้เฉพาะบุคคลที่จำเป็นต้องใช้ข้อมูลส่วนบุคคลดังกล่าว ซึ่งบุคคลที่บริษัทฯอนุญาตให้เข้าถึงข้อมูลส่วนบุคคลนั้น จะต้องยึดมั่นและปฏิบัติตามมาตรการการปกป้องข้อมูลส่วนบุคคลของบริษัทฯอย่างเคร่งครัดตลอดจนการรักษาความลับของข้อมูลส่วนบุคคลดังกล่าว โดยบริษัทฯมีมาตรการป้องกันทั้งทางกายภาพและทางอิเล็กทรอนิกส์เป็นไปตามมาตรฐานการกำกับดูแลที่บังคับใช้เพื่อปกป้องข้อมูลส่วนบุคคลเมื่อบริษัทฯทำสัญญา หรือ ข้อตกลงกับบุคคลที่สาม บริษัทฯจะกำหนดมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล การรักษาข้อมูลที่เป็นความลับที่เหมาะสม เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่บริษัทฯครอบครองจะความปลอดภัย

7. สิทธิของเจ้าของข้อมูลส่วนบุคคล

สิทธิของเจ้าของข้อมูลส่วนบุคคล เป็นสิทธิตามกฎหมายที่สามารถขอใช้สิทธิต่าง ๆ ได้ภายใต้ข้อกำหนดของกฎหมาย และนโยบายที่กำหนดไว้ในขณะนี้ หรือที่จะมีการแก้ไขเพิ่มเติมในอนาคต ตลอดจนหลักเกณฑ์ตามที่บริษัทฯ กำหนดขึ้น

7.1. สิทธิขอถอนความยินยอม

หากเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมให้บริษัทฯ เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล (ไม่ว่าจะเป็นความยินยอมที่ให้ไว้ก่อนวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับหรือหลังจากนั้น) เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมที่ได้ให้ความยินยอมไว้เมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของอยู่กับบริษัทฯ เว้นแต่มีข้อจำกัดสิทธินั้นโดยกฎหมายหรือมีสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลอยู่

7.2. สิทธิขอเข้าถึงข้อมูล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงข้อมูลส่วนบุคคลที่อยู่ในความรับผิดชอบของบริษัทฯ และขอให้บริษัทฯทำสำเนาข้อมูลดังกล่าวให้ รวมถึงขอให้บริษัทฯ เปิดเผยว่าข้อมูลส่วนบุคคลนั้นได้มาอย่างไรโดยปราศจากความยินยอมของเจ้าของข้อมูลส่วนบุคคล

7.3. สิทธิขอถ่ายโอนข้อมูล

มีสิทธิขอรับข้อมูลส่วนบุคคล ในกรณีที่บริษัทฯ ได้ทำให้ข้อมูลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิขอให้บริษัทฯ ส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และมีสิทธิขอรับข้อมูลส่วนบุคคลที่บริษัทฯ ส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่ไม่สามารถดำเนินการได้เพราะเหตุทางเทคนิค

7.4. สิทธิขอคัดค้าน

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอคัดค้านในเวลาใดก็ได้ หากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่ทำขึ้นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ หรือของบุคคลอื่น หรือเพื่อดำเนินการตามภารกิจเพื่อสาธารณประโยชน์ หากยื่นคัดค้าน บริษัทฯ จะยังคงดำเนินการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลต่อไปเฉพาะที่บริษัทฯ สามารถแสดงเหตุผลตามกฎหมายได้ว่ามีความสำคัญยิ่งกว่าสิทธิขั้นพื้นฐาน หรือเป็นไปเพื่อการยืนยันการปฏิบัติตามกฎหมาย หรือการต่อสู้ในการฟ้องร้องตามกฎหมาย ตามแต่ละกรณี

7.5. สิทธิขอให้ลบหรือทำลายข้อมูล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวได้หากเชื่อว่าข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ และเปิดเผยโดยไม่ชอบด้วยกฎหมายที่เกี่ยวข้อง หรือเห็นว่า บริษัทฯหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่เกี่ยวข้องในนโยบายฉบับนี้ หรือเมื่อใช้สิทธิขอถอนความยินยอมหรือใช้สิทธิขอคัดค้านตามที่แจ้งไว้ข้างต้นแล้ว

7.6. สิทธิขอให้ระงับการใช้ข้อมูล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลชั่วคราวในกรณีที่บริษัทฯ อยู่ระหว่างตรวจสอบตามคำร้องขอใช้สิทธิขอแก้ไขข้อมูลส่วนบุคคลหรือขอคัดค้าน หรือกรณีอื่นใดที่บริษัทฯ หมดความจำเป็นและต้องลบหรือทำลายข้อมูลส่วนบุคคลตามกฎหมายที่เกี่ยวข้อง แต่ขอให้บริษัทฯ ระงับการใช้แทน

7.7. สิทธิขอให้แก้ไขข้อมูล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

7.8. สิทธิร้องเรียน

เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อหน่วยงานผู้มีอำนาจ หากเชื่อว่าการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายที่เกี่ยวข้อง (โปรดดูข้อ 11 สำหรับรายละเอียดการติดต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล)

7.9. การใช้สิทธิ

การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลดังกล่าวข้างต้นสามารถทำได้โดยกรอกแบบฟอร์มคำร้องขอใช้สิทธิและยื่นคำร้องต่อหน่วยงานที่รับผิดชอบ อย่างไรก็ตามการใช้สิทธิอาจถูกจำกัดภายใต้กฎหมายที่เกี่ยวข้อง และมีบางกรณีที่มีเหตุจำเป็นที่บริษัทฯ อาจปฏิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิข้างต้นได้ เช่น ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล เพื่อประโยชน์สาธารณะ การใช้สิทธิอาจละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น เป็นต้น โดยหากบริษัทฯ ปฏิเสธคำขอข้างต้น บริษัทฯ จะแจ้งเหตุผลของการปฏิเสธให้ทราบด้วยระยะเวลาดำเนินการในการใช้สิทธิประเภทต่าง ๆ

 

8. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

บริษัทฯได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อตรวจสอบการดำเนินการที่เกี่ยวกับการเก็บ รวบรวม ใช้หรือ เปิดเผยข้อมูลส่วนบุคคล ให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ นโยบายระเบียบ ประกาศ คำสั่ง ของบริษัทฯ รวมทั้งประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และมีหน้าที่อื่นๆตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และที่จะมีการแก้ไขเพิ่มเติมกำหนด

9. คำถามที่เกี่ยวกับนโยบายความเป็นส่วนตัว

หากเจ้าของข้อมูลส่วนบุคคลมีข้อเสนอแนะ หรือต้องการสอบถามข้อมูลเกี่ยวกับรายละเอียดการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคล รวมถึงการขอใช้สิทธิตามนโยบายฉบับนี้ สามารถติดต่อบริษัทฯ และ/หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

10. ช่องทางการติดต่อ

หาก เจ้าของข้อมูลส่วนบุคคลมีข้อเสนอแนะ หรือต้องการสอบถามข้อมูลเกี่ยวกับรายละเอียดการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล รวมถึงการขอใช้สิทธิตามนโยบายฉบับนี้ สามารถติดต่อบริษัทฯ และ/หรือเจ้าหน้าที่

คุ้มครองข้อมูลส่วนบุคคล ผ่านช่องทางดังนี้

ชื่อบริษัทฯ                                                                                        บริษัท บีทีเอ็น พร็อพเพอร์ตี้ จำกัด

ที่อยู่                                                                                                    14/4 ม.13 ต.บางบัวทอง อ.บางบัวทอง จ.นนทบุรี 11110

เว็บไซต์ของบริษัทฯ                                                                      www.btn.co.th

ศูนย์บริการลูกค้าทางโทรศัพท์ของบริษัท                                 02-9226522-4

อีเมล                                                                                                  Btn.mkt@gmail.com

11.ติดต่อหน่วยงานผู้มีอำนาจ (Appropriate Authority)

หากเจ้าของข้อมูลส่วนบุคคลต้องการรายงานเรื่องร้องเรียน หรือหากรู้สึกว่าบริษัทฯ ไม่ตอบข้อกังวลในลักษณะที่น่าพึงพอใจ สามารถติดต่อและ/หรือร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ตามรายละเอียดด้านล่าง

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

โทรศัพท์: 02-142-1033

อีเมล: pdpc@mdes.go.th

หรือส่งจดหมายมาที่ :             

120 หมู่ 3 อาคารรัฐประศาสนภักดี (อาคาร B) ศูนย์ราชการฯ แจ้งวัฒนะ

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210

12. การปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Protection Privacy Policy)

บริษัทฯขอสงวนสิทธิในการปรับปรุง เปลี่ยนแปลง หรือแก้ไขนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ได้ในอนาคตเป็นประจำอย่างน้อยปีละ 1 ครั้งหรือเมื่อมีการเปลี่ยนแปลงข้อบังคับตามกฎหมาย และบริษัทฯจะประกาศให้ทราบผ่านเว็บไซต์ของบริษัทฯ

 

หมวดที่ 2

การคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้มีส่วนได้เสียภายใน (Internal Stakeholder)

บริษัทฯ ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ซึ่งหมายรวมถึง ผู้สมัครงาน พนักงานปัจจุบัน ผู้บริหาร อดีตพนักงาน พนักงานที่เกษียณอายุแล้ว พนักงานชั่วคราว ผู้รับทุน คณะกรรมการ คณะกรรมการอิสระ พยานและบุคคลอื่นๆ ที่เกี่ยวข้อง บริษัทฯ จึงกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลด้านงาน บริหารทรัพยากรบุคคลเพื่ออธิบายวิธีการที่บริษัทฯเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนไปยังต่างประเทศซึ่งข้อมูลส่วน บุคคล ตลอดจนการแจ้งสิทธิตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เพื่อแสดงความโปร่งใสของบริษัทฯในการ ดำเนินกิจกรรมที่เกี่ยวข้องอันสอดคล้องกับข้อกำหนดภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

ทั้งนี้ บริษัทฯอาจจะเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวผ่านช่องทางต่าง ๆ เช่น สาขา เว็บไซต์ ช่องทางการสื่อสาร ออนไลน์ (เช่น อีเมล) นิทรรศการการจ้างงานและงานกิจกรรมต่าง ๆ หรือเก็บรวบรวมเมื่อบริษัทไปเยี่ยมเยือนหรือนัด หมายพบกับเจ้าของข้อมูลส่วนบุคคล หรือจากแหล่งอื่น (เช่น แพลตฟอร์มออนไลน์ หรือแหล่งข้อมูลสาธารณะอื่น ๆ)หรือ ผ่านบริษัทในเครือ บริษัทย่อย พันธมิตรทางธุรกิจ หน่วยงานภาครัฐ หรือบุคคลที่สาม และสถานที่อื่น ๆ และ/หรือช่อง ทางการสื่อสารอื่น

1. วัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล

1.1. การปฏิบัติตามสัญญา (Contractual Basis)

เพื่อการปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา เช่น สัญญาจ้าง สัญญาการฝึกงาน สัญญาให้ทุนการศึกษา สัญญาให้การสนับสนุน หรือสัญญาอื่นใด หรือเพื่อใช้ในการดำเนินการตามคำขอใบสมัครก่อนเข้าทำสัญญา ตามแต่กรณี โดยตัวอย่างที่บริษัท จะเก็บรวบรวม ใช้ และเปิดเผยข้อมูล เช่น

1) การสอบข้อเขียน การสัมภาษณ์ รวมถึงการจ่ายค่าจ้างหรือผลตอบแทนอื่น การจัดให้มีสวัสดิการหรือประโยชน์อื่นใด การลงเวลาทำงาน การลางาน การแต่งตั้ง การโยกย้าย การเปลี่ยนตำแหน่ง การปรับโครงสร้างองค์กร การประเมินและบริหารผลการปฏิบัติงาน

(2) การพัฒนาทักษะความสามารถ การจัดทำบัตรพนักงาน การจัดทำทะเบียนพนักงาน การจัดทำข้อมูล

พนักงาน การติดต่อสื่อสาร การมอบหมายงานให้ผู้อื่นทำแทนบริษัท การปฏิบัติตามกฎหมาย การชำระ

ภาษี การบริหารความเสี่ยง การกำกับตรวจสอบ การป้องกันการทุจริต การสอบสวนและลงโทษทางวินัยการจัดการข้อร้องเรียน การบริหารจัดการภายในองค์กร และเพื่อวัตถุประสงค์อื่นใดที่จำเป็นต่อการจ้างงานตามวัตถุประสงค์ดังกล่าว

1.2. การปฏิบัติตามกฎหมาย (Legal Obligation)

เพื่อปฏิบัติหน้าที่ตามกฎหมายที่กำหนด หน้าที่ของบริษัท ในฐานะของนายจ้างหรือในฐานะอื่นใด เช่นกฎหมายแพ่งและพาณิชย์ กฎหมายธุรกิจสถาบันการเงิน กฎหมายหลักทรัพย์และตลาดหลักทรัพย์ กฎหมายประกันภัย กฎหมายคุ้มครองแรงงาน กฎหมายประกันสังคม กฎหมายเงินทดแทน กฎหมายแรงงานสัมพันธ์กฎหมายกองทุนสำรองเลี้ยงชีพ กฎหมายภาษีอากร กฎหมายล้มละลาย กฎหมายป้องกันและปราบปรามการฟอกเงิน กฎหมายการป้องกันและปราบปรามการสนับสนุนทางการเงินแก่การก่อการร้ายและแพร่ขยายอาวุธที่ มีอานุภาพทำลายล้างสูง กฎหมายคอมพิวเตอร์ การนำส่งข้อมูลให้ตลาดหลักทรัพย์แห่งประเทศไทย

1.3. ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)

เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท หรือของบุคคลหรือนิติบุคคลอื่น โดยไม่เกินขอบเขตและความ คาดหมายที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผลตั้งแต่แรก เช่น

1) การบันทึกเสียง การบันทึกภาพนิ่ง การบันทึกภาพเคลื่อนไหวกล้อง CCTV เพื่อป้องกันอาชญากรรม การ ประมวลข้อมูลเพื่อรักษาความปลอดภัยของระบบและเครือข่าย หรือการส่งต่อข้อมูลในเครือบริษัทเพื่อการ บริหารจัดการ

2) การสำรวจความคิดเห็น การเข้าร่วมกิจกรรมภายในองค์กร การประกาศผล การรับ-ส่งพัสดุ การวิเคราะห์ วิจัย ทำสถิต

3) การบริหารความเสี่ยง การกำกับตรวจสอบ การจัดการข้อร้องเรียน การบริหารจัดการภายในองค์กร การ ป้องกัน รับมือ ลดความเสี่ยงที่อาจเกิดการกระทำการทุจริต

4)ภัยคุกคามทางไซเบอร์ การทำผิดกฎหมายต่างๆ การตรวจสอบข้อมูลการใช้อุปกรณ์อิเล็กทรอนิกส์ เพื่อ เพิ่มประสิทธิภาพในการทำงานหรือตรวจสอบพฤติกรรมการปฏิบัติงาน การดำเนินคดีในชั้นศาล

5) การทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (Anonymous data

6) ข้อมูลผู้สมัครที่ไม่ผ่านการพิจารณาและข้อมูลบุคคลอ้างอิงของผู้สมัคร

1.4. ความยินยอม (Consent)

เพื่อเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามความจำเป็น ยกตัวอย่างเช่น

1) ข้อมูลสุขภาพเพื่อการพิจารณารับสมัครคัดเลือกเข้าทำงาน เข้ารับทุนการศึกษา รับการสนับสนุนการให้ สวัสดิการเบิกค่ารักษาพยาบาล/การรักษาพยาบาลที่ห้องพยาบาล/การตรวจสุขภาพประจำปี /โปรแกรม เพื่อสุขภาพต่าง ๆ เช่น การจัดฉีดวัคซีนและอื่น ๆ เป็นต้น

2) ข้อมูลชีวภาพ (Biometric) เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองลายนิ้วมือ ข้อมูลจำลองม่านตา เพื่อวัตถุประสงค์ในการตรวจสอบและพิสูจน์ตัวตนเพื่อลงเวลาทำงาน/เข้าประชุม/อบรมสัมมนา/เข้าร่วม กิจกรรม/เข้าอาคาร ข้อมูลประวัติอาชญากรรม/ข้อมูลประวัติพฤติกรรม เพื่อการพิจารณารับเข้าทำงาน เพื่อการพิจารณาเข้ารับทุนการศึกษา เพื่อการพิจารณาเข้ารับการสนับสนุนตรวจสอบคุณสมบัติในงานที่ รับผิดชอบ

2. วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล

 

3. ข้อมูลส่วนบุคคลที่จัดเก็บ

3.1. ข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคล คือ ข้อมูลที่ทำให้สามารถระบุตัวตนได้ ไม่ว่าทางตรงหรือทางอ้อม (แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม) ได้แก่

1) ข้อมูลส่วนบุคคลที่พนักงานหรือเจ้าของข้อมูลส่วนบุคคลให้ไว้แก่บริษัท โดยตรง ทั้งการเก็บข้อมูลจากใบสมัครงาน/สมัครทุนการศึกษา การขอรับการสนับสนุน การสัมภาษณ์ และในระหว่างการได้รับทุนการศึกษา ได้รับการสนับสนุน การฝึกงาน หรือการจ้างงาน

2) ข้อมูลส่วนบุคคลที่บริษัท ได้รับหรือเข้าถึงได้จากแหล่งอื่น เช่น หน่วยงานของรัฐ บริษัทในกลุ่มธุรกิจทางการเงิน สถาบันการเงิน ผู้ให้บริการทางการเงิน พันธมิตรทางธุรกิจ บริษัทข้อมูลเครดิต และผู้ให้บริการข้อมูล เป็นต้น โดยบริษัท จะเก็บรวบรวมข้อมูลจากแหล่งอื่นต่อเมื่อได้ปฏิบัติตามที่กฎหมายกำหนด เว้นแต่บริษัทมีความจำเป็นตามกรณีที่กฎหมายอนุญาต หรือสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ตามที่กฎหมายกำหนดข้อมูลส่วนบุคคลที่บริษัท เก็บรวบรวม ใช้ และเปิดเผย เช่น

• • ข้อมูลส่วนตัว เช่น ชื่อ นามสกุล เพศ อายุ วันเดือนปี เกิด สถานที่เกิด สถานภาพสมรส สัญชาติ เลข ประจำตัวประชาชน เลขหนังสือเดินทาง ความเป็นพลเมือง เลขที่ใบขับขี่ สถานภาพการเกณฑ์ทหาร ประวัติการศึกษา ประวัติการทำงาน ประวัติการเรียนรู้ ใบอนุญาตต่าง ๆ เลขที่บัญชีธนาคาร
  • ข้อมูลการติดต่อ เช่น ที่อยู่ตามทะเบียนบ้าน ที่อยู่ปัจจุบัน หมายเลขโทรศัพท์ อีเมล ไอดีไลน์รวมถึงข้อมูลในโซเชียลมีเดียต่าง ๆ
  • ข้อมูลเกี่ยวกับการจ้างงาน เช่น ตำแหน่งงาน ตำแหน่งองค์กร สังกัดต่าง ๆ ในองค์กร ค่าจ้าง ผลตอบแทนอื่น การใช้สวัสดิการ การลงเวลาทำงาน การลางาน การแต่งตั้ง การโยกย้าย การเปลี่ยนตำแหน่ง การประเมินผลทดลองงาน การประเมินผลการปฏิบัติงาน ทักษะความสามารถ บุคลิกภาพและพฤติกรรม การสอบสวน การลงโทษ (ยกเว้นพฤติกรรมทางเพศ)
  • ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address MAC address Cookie ID IMEI
  • ข้อมูลบุคคลที่สาม เช่น ข้อมูลสมาชิกในครอบครัว ข้อมูลผู้รับผลประโยชน์จากสวัสดิการ ต่างๆ ข้อมูลผู้ติดต่อฉุกเฉิน ข้อมูลผู้ค้ำประกันการทำงาน และบุคคลอ้างอิง
  • ข้อมูลอื่น ๆ เช่น การใช้งานเว็บไซต์ ความคิดเห็น ความชื่นชอบ งานอดิเรก ผลการสอบข้อเขียน เสียงภาพนิ่ง ภาพเคลื่อนไหว รวมถึงการเข้าร่วมกิจกรรมหรือแคมเปญต่างๆ ที่บริษัท จัดขึ้น และข้อมูลอื่นใดที่ถือว่าเป็นข้อมูลส่วนบุคคลตามกฎหมาย

4. การเปิดเผยและถ่ายโอนข้อมูลส่วนบุคคล

4.1. การเปิดเผยข้อมูลส่วนบุคคล

บริษัท อาจเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้อื่นภายใต้ความยินยอมของเจ้าของข้อมูลส่วนบุคคล หรือฐานทางกฎหมายตามวัตถุประสงค์ที่ระบุไว้ในนโยบายฉบับนี้ เช่น ผู้ประมวลผลข้อมูลส่วนบุคคล ผู้ให้บริการภายนอกทั้งในประเทศและต่างประเทศ ตัวแทนของบริษัท หน่วยงานหรือบริษัทภายนอกที่บริษัท ไปศึกษาดูงาน ผู้รับจ้างช่วงงานต่อ สถาบันการเงิน ผู้สอบบัญชี ผู้ตรวจสอบภายนอก ผู้มีอำนาจตามกฎหมาย ผู้สนใจจะเข้ารับโอนสิทธิ และ/หรือผู้รับโอนสิทธิหรือการควบรวมกิจการต่าง ๆ ของบริษัท นิติบุคคล/บุคคลใด ๆ ที่มีความสัมพันธ์หรือมีสัญญาอยู่กับบริษัท ซึ่งรวมตลอดถึง ผู้บริหาร พนักงาน ผู้รับจ้าง ตัวแทน ที่ปรึกษาของบริษัท และของบุคคลหรือหน่วยงานที่เป็นผู้รับข้อมูลดังกล่าว

4.2. การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

บริษัท มีการดำเนินธุรกิจในหลายประเทศ บริษัท จึงอาจมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังกลุ่มบริษัทบีทีเอ็น กิจการธุรกิจเดียวกันที่อยู่ต่างประเทศ ซึ่งอาจเป็นประเทศที่เจ้าของข้อมูลส่วนบุคคลทำงาน หรือไปยังผู้รับข้อมูลอื่น ซึ่งเป็นส่วนหนึ่งของการดำเนินธุรกิจตามปกติของบริษัท เช่น การส่งหรือโอนข้อมูลส่วนบุคคลไปเก็บไว้บน Server/Cloud ในประเทศต่าง ๆ กรณีที่ประเทศปลายทางที่อาจมีมาตรฐานไม่เพียงพอ บริษัท จะดูแลการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามกรณีที่กฎหมายกำหนด และจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลและมาตรการเยียวยาตามที่เห็นว่าจำเป็นและเหมาะสมสอดคล้องกับมาตรฐานการรักษาความลับตามที่กฎหมายประเทศนั้นกำหนด เช่น กำหนดให้ผู้รับข้อมูลมีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเทียบเท่ากับมาตรการของบริษัท มีข้อตกลงรักษาความลับกับผู้รับข้อมูลในประเทศดังกล่าว หรือในกรณีที่ผู้รับข้อมูลเป็นกลุ่มบริษัทบีทีเอ็นกิจการธุรกิจเดียวกัน บริษัท อาจเลือกใช้วิธีการดำเนินการให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรองจากผู้มีอำนาจตามกฎหมายที่เกี่ยวข้องและจะดำเนินการให้การส่งหรือโอนข้อมูลส่วนบุคคลไปยังกลุ่มบริษัทบีทีเอ็นกิจการ/ธุรกิจเดียวกันที่อยู่ต่างประเทศเป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวแทนการดำเนินการตามที่กฎหมายกำหนดไว้ก็ได้

 

หมวดที่ 3

คุ้มครองข้อมูลส่วนบุคคลสําหรับผู้มีส่วนได้เสียภายนอก (External Stakeholder)

บริษัทฯ ตระหนักถึงความสําคัญของการคุ้มครองข้อมูลส่วนบุคคลของผู้มีส่วนได้เสียภายนอก ซึ,งหมายรวมถึง ลูกค้าผู้เช่า ผู้ให้เช่า ผู้ถือหุ้น คณะกรรมการอิสระ และที,ปรึกษา บริษัทฯ จึงกําหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลเพื่ออธิบายวิธีการที่บริษัทฯ เก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนไปยังต่างประเทศซึ่งข้อมูลส่วนบุคคล ตลอดจนการแจ้งสิทธิตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เพื,อแสดงความโปร่งใสของบริษัทฯในการดําเนินกิจกรรมที่เกี่ยวข้อง อันสอดคล้องกับข้อกําหนดภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

1.ประเภทของเจ้าของข้อมูลส่วนบุคคลภายใต้นโยบายคุ้มครองข้อมูลส่วนบุคคลในหมวดนี้ได้แก่

1.1. ลูกค้าบุคคลธรรมดาของบริษัทฯ ซึ่งรวมไปถึง บุคคลธรรมดาซึ่งใช้หรือเคยใช้ผลิตภัณฑ์หรือบริการ ผู้ติดต่อสอบถามข้อมูลผลิตภัณฑ์หรือบริการ ผู้ที่รับทราบข้อมูลผลิตภัณฑ์หรือบริการผ่านสื่อต่าง ๆ และผู้ที่ได้รับการเสนอหรือชักชวนจากบริษัทฯให้ใช้หรือรับผลิตภัณฑ์หรือบริการ

1.2. คู่ค้า ได้แก่ พันธมิตรทางธุรกิจที่บริษัทฯจัดซื้อจัดจ้างสินค้าและ/หรือบริการ

1.3. ผู้ลงทุน ผู้ถือหุ้น และที่ปรึกษา

2. วัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล

บริษัทมีวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ดังนี;

2.1. เพื่อการให้บริการ การปรับปรุงผลิตภัณฑ์และบริการของบริษัท รวมถึงบริการหรือผลิตภัณฑ์อื่นๆ ที่จะมีใน

อนาคต ตลอดจนการดูแล การบํารุงรักษา และการดําเนินการ ที่เกี่ยวข้องกับการให้บริการดังกล่าว

2.2. เพื่อการดําเนินธุรกรรมต่าง ๆ ที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการของบริษัท เช่น การผ่อนดาวน์ การนัดตรวจ

การนัดโอนกรรมสิทธ์ กิจกรรมที่เกี่ยวข้องกับการบริหารงานนิติบุคคลอาคารชุด นิติบุคคลบ้านจัดสรร เป็นต้น

2.3. เพื่อการบริหารความสัมพันธ์ระหว่างบริษัทกับเจ้าของข้อมูลส่วนบุคคล

2.4. เพื่อยืนยัน และ/หรือ ระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลในการเข้าใช้บริการผ่านช่องทางต่าง ๆ หรือการติดต่อกับบริษัท

2.5. เพื่อการติดต่อสื่อสาร แจ้ง และ/หรือ รับข้อมูลข่าวสารต่าง ๆ จากบริษัท หรือการเปลี่ยนแปลงต่าง ๆ ที่เกิดขึ้นของบริษัท

2.6. เพื่อการดําเนินการตามความประสงค์ของเจ้าของข้อมูลส่วนบุคคลที่ได้แจ้งไว้กับบริษัท

2.7. เพื่อการนําเสนอสิทธิประโยชน์ต่าง ๆ และ/หรือ บริการอื่น ๆ ของบริษัท อาทิ การให้คําแนะนําและ/หรือ ข้อเสนอเกี่ยวกับผลิตภัณฑ์และการบริการ รวมถึงโปรโมชั่นต่าง ๆ ในการส่งเสริมกิจกรรมทางการตลาด รวมถึง การทําธุรกรรมที่เกี่ยวข้องกับการใช้บริการของบริษัท

2.8. เพื่อการดําเนินธุรกิจของบริษัท เช่น การวิเคราะห์ข้อมูล การตรวจสอบ การพัฒนาผลิตภัณฑ์ใหม่ การปรับปรุงหรือเปลี่ยนแปลงการบริการ การวิเคราะห์การใช้งานด้านบริการ การสํารวจการจัดกิจกรรมส่งเสริมการขาย การพิจารณาการดําเนินงานและขยายธุรกิจของบริษัท

2.9. เพื่อการดําเนินการใดๆ ที่จําเป็นและเหมาะสมในกรณีต่างๆ ดังนี้

2.9.1. ตรวจสอบและป้องกันการกระทำที่ละเมิดหรืออาจจะละเมิดต่อกฎหมาย

2.9.2.ตอบสนองต่อคำขอจากหน่วยงานรัฐหรือรัฐบาล รวมถึงหน่วยงานของรัฐหรือรัฐบาลต่างประเทศที่เจ้าของข้อมูลส่วนบุคคลอาศัยอยู่

2.9.3.บังคับใช้ข้อกำหนดในการให้บริการและนโยบายที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของบริษัท

2.9.4. ปกป้องการดำเนินธุรกิจของบริษัท

2.9.5. ปกป้องสิทธิความเป็นส่วนตัว ความปลอดภัยหรือทรัพย์สินของบริษัท บุคคลากร และเจ้าของข้อมูลส่วนบุคคล หรือบุคคลอื่น

2.9.6. เยียวยา ป้องกัน หรือจำกัดความเสียหายที่อาจเกิดขึ้น

2.10.เพื่อปฏิบัติตามกฎหมาย การสืบสวนของเจ้าพนักงาน หรือหน่วยงานกำกับดูแลหรือเพื่อให้เป็นไปตามกฎข้อบังคับ หรือข้อผูกพันที่กฎหมายหรือภาครัฐกำหนด

2.11.เพื่อการดำเนินการตามหน้าที่อื่นๆ ของบริษัทฯ ซึ่งขึ้นอยู่กับความสัมพันธ์ระหว่างบริษัทฯกับเจ้าของข้อมูลส่วนบุคคล เช่น ในฐานะผู้ถือหุ้นของบริษัทฯ ที่บริษัทฯจะดำเนินการส่งจดหมายเพื่อเชิญเข้าร่วมประชุมผู้ถือหุ้น หรือในฐานะคณะกรรมการอิสระหรือที่ปรึกษาบริษัทฯ ที่บริษัทฯดำเนินการแต่งตั้ง รวมทั้งในฐานะใดๆ ก็ตามที่บริษัทฯจะต้องดำเนินการอันเนื่องมาจากหน้าที่ตามสัญญาหรือข้อตกลงใดๆ ที่เกี่ยวข้อง

ทั้งนี้ วัตถุประสงค์อื่น ๆ ที่ไม่ได้ระบุไว้ข้างต้น เจ้าของข้อมูลส่วนบุคคลจะได้รับการแจ้งเมื่อบริษัทมีการขอเก็บรวบรวมข้อมูลส่วนบุคคล

อนึ่ง ในการได้ข้อมูลส่วนบุคคลนั้น บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์ตามข้อ 1.เฉพาะเมื่อเข้าเงื่อนไขดังต่อไปนี้

1. เจ้าของข้อมูลได้ให้ความยินยอมไว้กับบริษัทตามกฎหมาย (Consent)
2. เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอก่อนเข้าทำสัญญานั้น (Contract)
3. เป็นการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือ สุขภาพของบุคคล (Vital Interest)
4. เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท หรือปฏิบัติหน้าที่ในการใช้อำนาจที่รัฐได้มอบหมายให้แก่บริษัท (Public Task)
5. เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือของบุคคลหรือนิติบุคคลอื่น เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคล (Legitimate Interest)
6. เป็นความจำเป็นเพื่อปฏิบัติตามกฎหมาย (Legal Obligations)
7. มีการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ โดยบริษัทจะจัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพ (Scientific or Historical Research)

3.วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล

4.ข้อมูลส่วนบุคคลที่จัดเก็บ

บริษัทจะทำการเก็บรวบรวมข้อมูลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้กับบริษัทโดยตรงหรือข้อมูลส่วนบุคคลที่บริษัทได้รับจากการให้บริการหรือการดำเนินงานของบริษัทผ่านทุกช่องทาง

4.1. ข้อมูลส่วนบุคคล หมายถึง ข้อมูลที่เกี่ยวข้องกับการระบุตัวตนของบุคคลธรรมดา บุคคลธรรมดาที่ระบุตัวตนได้หมายความถึง บุคคลหนึ่งซึ่งสามารถถูกระบุตัวตนได้โดยเฉพาะเจาะจงโดยตรงหรือโดยอ้อม โดยอ้างอิงจากตัวบ่งชี้ใดๆ เช่น

• • ชื่อ
  • อีเมล
  • ที่อยู่ /ที่อยู่สำนักงาน
  • เพศ
  • เบอร์โทรศัพท์
  • หมายเลขประจำเครื่องคอมพิวเตอร์ (IP address)

4.2. ข้อมูลพฤติกรรมการสืบค้น หมายถึง ข้อมูลที่ไม่เกี่ยวข้องต่อบุคคลธรรมดาที่ระบุตัวตนได้ เช่น ประเภท เบราว์เซอร์

4.3. โดเมน เว็บไซต์ที่เยี่ยมชม เวลาเข้าเว็บไซต์ ที่อยู่เว็บไซต์อ้างอิงข้อมูลเพื่อการสนับสนุนลูกค้า โดยจะมีการเก็บ log การใช้งานจากบนแอปพลิเคชันของทางบริษัท

4.4. ข้อมูลระบบ หมายถึง ข้อมูลที่บริษัทจดเก็บโดยอัติโนมัติเมื่อล็อคอินเข้าสู่เว็บไซต์ของบริษัท ไม่ว่าจะผ่านทาง คุกกี้ เว็บบีคอน ไฟล์ล็อคอิน สคริปท์ (โปรดดูรายละเอียดเพิ่มเติมในโยบายคุกกี้ของบริษัท)รวมถึง ข้อมูลทาง เทคนิค เช่น ที่อยู่ไอพี ประเภทของเบราว์เซอร์ โดเมน ประวัติเว็บไซต์ที่เยี่ยมชม เวลาการเข้าใช้งาน ที่อยู่เว็บไซต์ ที่อ้างอิง ข้อมูลเกี่ยวกับสิ่งที่ค้นหาหรือที่ดูในขณะที่ใช้เว็บไซต์ของบริษัท รวมถึง พฤติกรรมการใช้งานแอปพลิเค ชัน

4.5. ข้อมูลที่ตั้ง หมายถึง ข้อมูลที่ได้รับจากจีพีเอส ไวไฟ เข็มทิศ เครื่องวัดความเร่ง IP Address หรือโพสต์สาธารณะ ซึ่งระบุข้อมูลที่ตั้ง

4.6. คุกกี้ หมายถึง ข้อมูลที่ถูกวางในคอมพิวเตอร์โดยเว็บเซิร์ฟเวอร์ หลังจากคุกกี้ได้ถูกวางในคอมพิวเตอร์ คุกกี้จะ เก็บหรือจดจำข้อมูลของผู้ใช้จนกว่าผู้ใช้จะปิดบราวเซอร์นั้น หรือจนกว่าผู้ใช้จะลบหรือปฏิเสธคุกกี้อย่างไรก็ ตามจะพบว่าจะเป็นการสะดวกในการนำทางการใช้เว็บไซต์ได้อย่างง่ายดาย เพราะคุกกี้จะช่วยเก็บข้อมูล เว็บไซต์ซึ่งเยี่ยมชมหรือเปิดขึ้น

5.การเปิดเผยข้อมูลส่วนบุคคล

5.1. การเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก และ/หรือ องค์กร หรือหน่วยงานภายนอก เฉพาะในกรณี ดังต่อไปนี้

• • กลุ่มบริษัทที่มีความเกี่ยวข้อง และบริษัทในเครือของบริษัท: บริษัทจะแชร์หรือแบ่งปันข้อมูลส่วน บุคคลภายในกลุ่มบริษัทบีทีเอ็น ซึ่งรวมถึง บริษัท บีทีเอ็น พร็อพเพอร์ตี้ จำกัด บริษัท บัวทองธานี เเมเนจเม้นท์ จำกัด และบริษัท บัวทองธานี บ้านเเละที่ดิน จำกัด เพื่อวัตถุประสงค์ทางการตลาด
  • คู่สัญญา: ในกรณีที่บริษัททำการจ้างผู้รับเหมาเพื่อดำเนินการใดอันจำเป็นใช้ข้อมูลส่วนบุคคล เช่น รหัสไปรษณีย์ การวิเคราะห์ทางสถิติ หรือกิจกรรมออนไลน์ เว็บไซต์จะกำหนดให้คู่สัญญาในการดำเนินการนั้นเพื่อป้องกันความเป็นส่วนตัวของข้อมูลส่วนบุคคลและต้องห้ามมิให้คู่สัญญาใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นใดนอกจากเพื่อสนับสนุนกิจกรรมหรืองานของบีทีเอ็น
  • หน่วยงานรัฐบาล รัฐบาล หรือองค์กรอื่นตามกฎหมาย เพื่อเป็นการปฏิบัติตามกฎหมาย คำสั่ง คำร้องขอ เพื่อการประสานงานกับหน่วยงานต่าง ๆ ในเรื่องที่เกี่ยวข้องกับการปฏิบัติตามกฎหมาย

6.การใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด

นอกจากวัตถุประสงค์ดังกล่าวข้างต้นและภายใต้ข้อกำหนดของกฎหมาย บริษัทจะใช้ข้อมูลส่วนบุคคลเพื่อ วัตถุประสงค์ทางการตลาด เช่น การจัดส่งเอกสารเกี่ยวกับโปรโมชั่นต่าง ๆ ทางไปรษณีย์ อีเมล และด้วยวิธีการอื่นใด รวมถึงการดำเนินการด้านการตลาดแบบตรง เพื่อเพิ่มสิทธิประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากการเป็น ลูกค้าของบริษัทผ่านการแนะนำผลิตภัณฑ์และบริการที่เกี่ยวข้อง เจ้าของข้อมูลส่วนบุคคลสามารถเลือกที่จะไม่รับการสื่อสารเพื่อวัตถุประสงค์ทางการตลาดจากบริษัท ยกเว้น การติดต่อสื่อสารที่เกี่ยวข้องและจำเป็น และ/หรือบริการที่บริษัทได้ให้แก่เจ้าของข้อมูลส่วนบุคคล เช่น ใบแจ้งเตือน การชำระค่างวด และใบเสร็จรับเงิน เป็นต้น

 

หมวดที่ 4

หลักเกณฑ์ในการจัดเก็บ การใช้ และการทำลายข้อมูลส่วนบุคคล

1.การจัดเก็บข้อมูลส่วนบุคคล (Personal Data Retention)

บริษัทฯจะจัดเก็บข้อมูลส่วนบุคคลตราบเท่าที่จำเป็น โดยคำนึงถึงวัตถุประสงค์และความจำเป็นที่บริษัทจะต้อง ดำเนินการจัดเก็บรวบรวมและประมวลผล ซึ่งรวมไปถึงการปฏิบัติตามข้อกำหนดของกฎหมายที่ใช้บังคับในเรื่องดังกล่าว บริษัทจะจัดเก็บข้อมูลส่วนบุคคลไว้หลังระยะเวลาที่สัญญาที่เจ้าของข้อมูลส่วนบุคคล ได้ทำไว้กับบริษัทสิ้นผลบังคับ ระยะเวลาหนึ่ง และสอดคล้องตามระยะเวลาและอายุความของกฎหมายที่เกี่ยวข้อง โดยบริษัทจะจัดเก็บไว้ในสถานที่ จัดเก็บที่เหมาะสมตามประเภทของข้อมูลส่วนบุคคล ทั้งนี้บริษัทจำเป็นต้องเก็บข้อมูลส่วนบุคคลต่อไปแม้จะพ้นกำหนด อายุความตามกฎหมายแล้วก็ตาม เช่น กรณีอยู่ระหว่างการดำเนินคดีหรือพิจารณาคดีตามกฎหมาย เป็นต้น โดยบริษัทฯ กำหนดระยะเวลาในการจัดเก็บข้อมูลแต่ละประเภท ดังนี้

ทั้งนี้ บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลตามมาตราการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) เพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลข้อมูลส่วนบุคคลที่เหมาะสม หมายความว่า มีการธำรงไว้ ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และให้ข้อมูลอยู่ในลักษณะที่พร้อมใช้งาน (availability) และเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล นอกจากนี้ บริษัท ยังได้กำหนดให้พนักงาน บุคลากร ตัวแทน และผู้รับข้อมูลจากบริษัท มีหน้าที่รักษาข้อมูลส่วนบุคคลไว้เป็นความลับและมีความปลอดภัยตามมาตรการที่บริษัทกำหนด เมื่อต้องมีการดำเนินการใด ๆ กับข้อมูลส่วนบุคคล

หมายเหตุ การจัดเก็บข้อมูลอื่นๆนอกเหนือจากที่ระบุตามตาราง บริษัทฯจะทำการจัดเก็บเท่าที่จำเป็น

2. การใช้ข้อมูลส่วนบุคคล (Personal Data Usage)

2.1. ให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ดูแลเรื่องการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามนโยบายของ บริษัท รวมทั้งกฎหมายและกฎเกณฑ์ที่เกี่ยวข้อง ทั้งนี้ หากมีข้อสงสัย ข้อซักถาม หรือมีกรณีที่ต้องขอความเห็น หรือต้องให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลดำเนินการใด ๆ สามารถติดต่อได้ตามช่องทาง ดังนี้ อีเมล์หน่วยงาน Btn.mkt@gmail.com

2.2. ห้ามพนักงานเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล นอกเหนือจากวัตถุประสงค์ และฐานการประมวลผลซึ่งบริษัทได้ระบุไว้ในบันทึกรายการการประมวลผลข้อมูลส่วนบุคคล(Record of Processing Activity – ROPA)

2.3. ฐานในการประมวลผลข้อมูลส่วนบุคคลของบริษัทฯจะต้องเป็นไปตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล โดยฐานในการประมวลผลข้อมูลส่วนบุคคลประกอบด้วย

(1) ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

(2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

(3) เพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของ

เจ้าของข้อมูลก่อนเข้าทำสัญญา

(4) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ

(5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท

(6) เป็นการจำเป็นที่บริษัทต้องปฏิบัติตามกฎหมาย

2.4 ในกรณีที่พนักงานมีความจำเป็นต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่เป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะ (อายุยังไม่ครบยี่สิบปีบริบูรณ์) หรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วการขอความยินยอมจากเจ้าของข้อมูล ให้พนักงานดำเนินการดังต่อไปนี้

(1) กรณีเจ้าของข้อมูลเป็นผู้เยาว์ที่มีอายุต่ำกว่า 10 ปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์

(2) กรณีเจ้าของข้อมูลเป็นผู้เยาว์ที่มีอายุเกิน 10 ปี แต่ไม่เกิน 20 ปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ และผู้เยาว์

(3) กรณีที่เจ้าของข้อมูลเป็นคนไร้ความสามารถ ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ

(4) กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ

 

2.6. ห้ามไม่ให้พนักงานทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแตกต่างจากวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลไว้ก่อนหรือในขณะที่เก็บรวบรวม เว้นแต่ ได้แจ้งวัตถุประสงค์ใหม่นั้นให้เจ้าของข้อมูลทราบ หากมีการพิจารณาในการใช้ฐานความยินยอม บริษัทฯได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว

2.7. ในการเก็บรวบรวมข้อมูลส่วนบุคคล ให้พนักงานแจ้งรายละเอียดต่อไปนี้ต่อเจ้าของข้อมูลรับทราบ

(1) วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย

(2) แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา รวมทั้งแจ้งถึงผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล

(3) ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวม รวมถึงระยะเวลาในการเก็บรวบรวมไว้ ในกรณีที่ไม่สามารถกำหนดระยะเวลาดังกล่าวได้ชัดเจน ให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม

(4) บุคคลหรือหน่วยงานของพนักงานซึ่งเป็นผู้รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล

(5) แจ้งข้อมูลสถานที่ติดต่อ และวิธีการติดต่อกลับมายังบริษัท

(6) สิทธิของเจ้าของข้อมูลส่วนบุคคล

2.8. ห้ามมิให้พนักงานทำการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น ที่ไม่ใช่จากเจ้าของข้อมูลโดยตรง เว้นแต่ได้แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลทราบภายในสามสิบวันนับแต่วันที่เก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูล

2.9. ในการประมวลผลข้อมูลส่วนบุคคล พนักงานจะต้องคำนึงถึงความมั่นคงปลอดภัยสารสนเทศและข้อมูลส่วนบุคคล ซึ่งรวมถึง การดำรงไว้ซึ่งความลับ (Confidentiality)ความลูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคลอยู่เสมอ เพื่อการป้องกันการประมวลผลข้อมูลส่วนบุคคลโดยผู้ที่ไม่มีสิทธิ การลบหรือทำลายข้อมูลทั้งโดยความตั้งใจ และไม่ตั้งใจ และรวมถึงการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศให้อยู่ในระดับที่องค์กรยอมรับได้

2.10. พนักงานจะต้องรักษาอุปกรณ์ที่สามารถเข้าถึงข้อมูลส่วนบุคคลมิให้สูญหาย หรือถูกทำลาย และห้ามมิให้บุคคลอื่นที่ไม่มีสิทธิใช้อุปกรณ์ดังกล่าว

2.11. พนักงานทราบดีว่าบริษัทมีการกำหนดสิทธิของพนักงานในการเข้าถึงข้อมูลส่วนบุคคล พนักงานจะต้องเคารพสิทธิของบุคคลอื่น และไม่เข้าถึงข้อมูลส่วนบุคคลที่ตนไม่มีสิทธิ หากพนักงานต้องการเข้าถึงข้อมูลส่วนบุคคลที่ตนไม่มีสิทธิ พนักงานต้องดำเนินการขอสิทธิเพื่อเข้าถึงข้อมูลนอกเหนือจากที่กำหนดไว้ตามวิธีการที่บริษัทกำหนด

2.12.ห้ามมิให้พนักงานเปิดเผยชื่อผู้ใช้ (Username) และ รหัสผ่าน (Password) ที่บริษัทจัดให้สำหรับเข้าระบบฐานข้อมูลต่างๆ แก่บุคคลอื่นใด หรือด้วยวิธีการใด ๆ โดยเด็ดขาด

2.13. ห้ามมิให้พนักงาน คัดลอก ลอกเลียน ดัดแปลง ปลอมแปลง ขาย จำหน่าย จ่าย โอน ให้เช่า เรียกดึงข้อมูลบันทึก ส่งผ่าน หรือกระทำการใด ๆ ต่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลโดยไม่เป็นไปตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทโดยเด็ดขาด

2.14.พนักงานต้องใช้ความระมัดระวังในการดูแลข้อมูลส่วนบุคคลของเจ้าของข้อมูล ให้ปลอดภัยจาก การสูญหายเปลี่ยนแปลง แก้ไข รั่วไหล ถูกโจรกรรม ถูกเปิดเผยโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงต้องทบทวนวิธีการดูแลรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามบริบทหรือเทคโนโลยีที่เปลี่ยนแปลงไปอยู่เสมอ ทั้งนี้ในการเก็บรักษาข้อมูลส่วนบุคคลไม่ว่าจะเป็นในรูปแบบของ hard copy หรือ soft file พนักงานจะต้องปฏิบัติตามวิธีการจัดเก็บเอกสารเพื่อความปลอดภัยตามที่บริษัทฯกำหนด

2.15. พนักงานต้องทำการตรวจสอบเพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลในส่วนที่ตนรับผิดชอบ เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลร้องขอ หรือได้ถอนความยินยอม ทั้งนี้ ตามนโยบายการเก็บรักษาข้อมูลส่วนบุคคล และนโยบายการทำลายข้อมูลส่วนบุคคล

2.16. พนักงานต้องปฏิบัติตามนโยบายที่เกี่ยวข้องอย่างเคร่งครัด เพื่อให้บริษัทสามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล

2.17.ในกรณีที่ บริษัทฯเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งของบุคคลอื่น พนักงานจะต้องปฏิบัติตามคำสั่งเป็นลายลักษณ์อักษรของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นจะขัดหรือแย้งกับกฎหมาย และจะไม่ดำเนินการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกจากวัตถุประสงค์ซึ่งข้อมูลส่วนบุคคลนั้นได้ถูกเปิดเผยให้แก่บริษัทในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล และพนักงานมีหน้าที่ในการรักษาความลับ และหน้าที่อื่น ๆ ตามที่กำหนดไว้ในสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและบริษัท รวมถึงหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด

2.18.หากพนักงานคนใดทราบถึงการละเมิดข้อมูลส่วนบุคคลของบริษัทฯ พนักงานผู้นั้นนั้นจะต้องรายงานเหตุการณ์ที่เกิดขึ้นแก่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือสายงานที่เกี่ยวข้องทันทีทั้งนี้การรายงานดังกล่าวจะถูกเก็บเป็นความลับ

3. การลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด (Personal Data Disposal Policy) บริษัทฯ ตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล จึงกำหนดให้มีการลบ หรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด ของข้อมูลส่วนบุคคลอย่างเหมาะสมและสอดคล้องกับการรักษาความลับ ของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ แปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย รวมถึงควบคุมให้ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการ ตามที่กำหนดในนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของบริษัทฯ

3.1 วิธีการจัดทำข้อมูลนิรนาม

1) การปิดทับข้อมูล (Masking)ดำเนินการเปลี่ยนส่วนใดส่วนหนึ่งของข้อมูลโดยการใช้กลุ่มของตัวอักษรที่ได้จากการสุ่ม หรือข้อมูลอื่นๆ เช่น Hashing เพื่อเปลี่ยนข้อมูลและไม่สามารถที่จะให้ข้อมูลย้อนกลับมาระบุตัวตนของเจ้าของข้อมูลได้

2) การลดความชัดเจนของข้อมูล (Blurring or Noising) มีการใช้ข้อมูลโดยประมาณแทนที่ข้อมูลเดิม เพื่อลดความเฉพาะเจาะจงของข้อมูลลง หรือการใช้ Differential Privacy

3.2 กระบวนการลบข้อมูลส่วนบุคคล

พนักงานต้องทำการตรวจสอบเพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลในส่วนที่ตนรับผิดชอบ เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา โดยการใช้เครื่องย่อยเอกสาร หรือดำเนินการลบข้อมูลแบบที่ไม่สามารถกู้คืนข้อมูลได้ในกรณีที่เป็นเอกสารอิเล็กทรอนิกส์

4. บทกำหนดโทษ

กรณีพนักงาน ละเลย ละเว้นไม่สั่งการ ไม่ดำเนินการ หรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตน อันเป็นการฝ่าฝืนนโยบายฉบับนี้ จนเป็นเหตุให้เกิดความเสียหายหรือผิดต่อกฎหมาย ต้องได้รับโทษทางวินัยตามระเบียบของบริษัทฯ และโทษตามกฎหมายสำหรับความผิดที่เกิดขึ้น ทั้งนี้ หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่ บริษัทและ/หรือบุคคลอื่นใด บริษัทฯอาจพิจารณาดำเนินคดีตามกฎหมายต่อไป