นโยบายการคุ้มครองข้อมูลส่วนบุคคล ของ บริษัท ชินแพค (ประเทศไทย) จำกัด
Personal Data Protection Policy of Shinpack (Thailand) Co.,Ltd.
บทนำ
เพื่อให้การดำเนินกิจการด้านต่างๆ ของ บริษัท ชินแพค (ประเทศไทย) จำกัด (ซึ่งในต่อไปนี้จะเรียกว่า “บริษัท”) เป็นไปโดยหลักธรรมาภิบาล และหลักการขั้นพื้นฐานความมั่นคงแห่งสิทธิความเป็นส่วนตัว ของบุคคลตามหลักสากล และ เพื่อเป็นการ บูรณาการไปตามหลักการการให้ความคุ้มครองข้อมูลส่วนบุคคลตามบทบัญญัติของกฎหมาย คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA)
ประกอบกับ บริษัทมีความจำเป็นต้องนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไม่ว่าจะเป็นพนักงาน กรรมการ คู่สัญญา ลูกค้า ตลอดจนบุคคลใดๆ ที่เกี่ยวข้อง มาใช้ในการจัดทำ หรือประมวลผล ข้อมูลเกี่ยวกับกิจการของบริษัท โดยบริษัทจะดำเนินการรักษาความปลอดภัยและนำข้อมูลมาใช้ประมวลผลเพื่อกิจการของบริษัทเท่านั้น
โดยการประมวลผลไม่ว่ากรณีใดๆ จะอยู่ภายใต้บังคับแห่ง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทจึงได้กำหนดนโยบายและระเบียบกับ ผู้ควบคุมข้อมูล ผู้ประมวลผล และบุคคลที่เกี่ยวข้อง ดังนี้
1.คำนิยาม
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม
“บริษัท” หมายถึง บริษัท ชินแพค (ประเทศไทย) จำกัด
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บริษัท และบุคคลที่บริษัทได้มีการแต่งตั้งมอบหมายให้เป็นผู้ควบคุมข้อมูลส่วนบุคคลเพื่อดำเนินการ เก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ทั้งนี้บุคคลที่บริษัทแต่งตั้งจะเป็นผู้ดำเนินการเสมือนตัวแทนของบริษัทเท่านั้น
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคล หรือ นิติบุคคลที่มีหน้าที่ดำเนินการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของบริษัท หรือ ผู้ควบคุมข้อมูลส่วนบุคคล
“ข้อมูลอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น การสแกนลายนิ้วมือ การสแกนใบหน้า เป็นต้น) หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
2.การจัดเก็บข้อมูล
บริษัทจะมีการเก็บรวบรวมข้อมูลส่วนบุคคลของบุคคลที่เกี่ยวข้องกับการดำเนินกิจการหรือการบริหารงานของบริษัท ดังต่อไปนี้
ข้อมูลส่วนบุคคลทั่วไป :
2.1 ข้อมูลส่วนตัว ได้แก่ ชื่อและนามสกุล วันเดือนปี สถานที่เกิด สถานภาพ ข้อมูลตามที่ระบุในบัตรประจำตัวประชาชนและหนังสือเดินทาง สำเนาบัตรประชาชน หรือหมายเลขบัตรประชาชน
2.2.ข้อมูลติดต่อ ได้แก่ ที่อยู่ หมายเลขโทรศัพท์ ช่องทางติดต่อในสื่อสังคมออนไลน์ บนแพลทฟอร์มต่างๆ ตลอดจนสถานที่ทำงาน
2.3.ตำแหน่งงาน หน่วยงานหรือองค์กร
2.4.ข้อมูลเกี่ยวกับการใช้งานระบบอิเล็กทรอนิกส์ ได้แก่ email หมายเลขไอพี (IP Address) ประเภทของโปรแกรมบราวเซอร์ (Browser) และคุกกี้ (Cookies) ประวัติการสนทนาในแอปพลิเคชั่นต่าง ๆ
2.5.ข้อมูลที่เจ้าของข้อมูลได้ให้ไว้ต่อบริษัท เพื่อการติดต่อ หรือร่วมกิจกรรมใด ๆ กับบริษัท
โดยบริษัทจะดำเนินการด้วยความเคารพต่อสิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูล ให้ได้รับความมั่นคงปลอดภัยเกี่ยวกับข้อมูล และข้อมูลส่วนบุคคลนั้น บริษัทต้องได้รับความยินยอมให้เก็บหรือใช้นั้น จะถูกนำไปใช้ตามวัตถุประสงค์ที่เกี่ยวข้องเท่านั้น
โดยบริษัทจะดำเนินการให้มีมาตรการเข้มงวดในการรักษาความมั่นคงปลอดภัย ตลอดจนการป้องกันมิให้มีการนำข้อมูลส่วนบุคคลไปใช้โดยมิชอบด้วยกฎหมายอย่างเคร่งครัด
3.ผู้ควบคุมข้อมูลส่วนบุคคล
บริษัทได้มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) เพื่อตรวจสอบการดำเนินการของบริษัทที่เกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
โดยผู้ติดต่อ สามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ของบริษัทได้ตามช่องทางดังต่อไปนี้
บริษัท ชินแพค (ประเทศไทย) จำกัด
สถานที่ติดต่อ : เลขที่ 700/365 หมู่ 6 ถนนบางนา-ตราด กม.57 ตำบลหนองไม้แดง อำเภอเมืองชลบุรี จังหวัดชลบุรี 20000
นางสาวเสาวรส ฟูเกษม ฝ่าย Administration แผนก Human Resources เบอร์โทรศัพท์ : (038) 458706-9 ต่อ 5 จดหมายอิเล็กทรอนิกส์ f_saowaros@shinpack.co.th
4.ผู้ประมวลผลข้อมูลส่วนบุคคล
บริษัทจะจัดให้มีข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับบริษัทเพื่อควบคุมการดำเนินงานตามหน้าที่ของ ผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อให้เกิดการคุ้มครองตามหลักการและนโยบายของบริษัทอย่างเคร่งครัด โดยผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้
4.1.ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมาย
4.2.จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุ การละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
4.3.จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
5.การจัดเก็บข้อมูล
ในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลโดยตรง และการนำข้อมูลส่วนบุคคลไปใช้ รวมถึงการเปิดเผยข้อมูลส่วนบุคคล บริษัทจะขอความยินยอมจากเจ้าของข้อมูลก่อนหรือขณะทำการเก็บรวบรวม หากกฎหมายกำหนดให้ต้องขอความยินยอม และจะดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์ที่บริษัทระบุไว้โดยแจ้งชัด
ทั้งนี้ บริษัทอาจรวบรวมข้อมูลส่วนบุคคลที่ได้รับมาจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เช่น จากสื่อสาธารณะต่าง ๆ เฉพาะในกรณีที่มีความจำเป็น ตามที่กฎหมายกำหนด
6.ระยะเวลาการจัดเก็บ
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูล เป็นระยะเวลาเท่าที่จำเป็นเพื่อวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลซึ่งได้ระบุไว้ในคำประกาศฉบับนี้ ตามหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่บริษัทยังมีความสัมพันธ์กับเจ้าของข้อมูลในฐานะลูกค้าของบริษัท และอาจเก็บต่อไปตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความทางกฎหมาย
เพื่อเป็นการปฏิบัติตามกฎหมายหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อเหตุอื่นตามนโยบายและข้อกำหนดภายในของบริษัท
ในกรณีที่ไม่สามารถระบุระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลได้ชัดเจน บริษัทจะเก็บรักษาข้อมูลไว้ตามระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวมตามอายุความตามกฎหมายทั่วไปสูงสุด 10 ปี
7.วัตถุประสงค์การจัดเก็บ
บริษัทจะดำเนินการเก็บรวบรวม ใช้ และเปิดเผย ข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามวัตถุประสงค์ดังต่อไปนี้
7.1.เพื่อประโยชน์ในการจัดหาหรือจำหน่ายผลิตภัณฑ์ การให้หรือรับบริการในรูปแบบต่าง ๆ
7.2.เพื่อการทำธุรกรรมทางการเงิน และภาษี ที่เกี่ยวข้องกับการปฏิบัติตามสัญญาของบริษัทการค้นคว้า หรือการวิจัยผลิตภัณฑ์
7.3.เพื่อประโยชน์ในการจัดทำฐานข้อมูลสำหรับการวิเคราะห์และนำเสนอบริการหรือผลิตภัณฑ์ใด ๆ ของบริษัทและบริษัทในกลุ่ม หรือบุคคลที่เป็นผู้จำหน่าย เป็นตัวแทน หรือมีความเกี่ยวข้องกับบริษัท
7.4.เพื่อประโยชน์ในการปรับปรุงคุณภาพในการดำเนินงาน การให้บริการ และการดำเนินการที่เกี่ยวข้องกับธุรกิจของบริษัท
7.5.เพื่อการวิเคราะห์และติดตามการใช้บริการทางเว็บไซต์ และวัตถุประสงค์ในการตรวจสอบย้อนหลังในกรณีที่เกิดปัญหาการใช้งาน
7.6.เพื่อวัตถุประสงค์ในการควบคุมการเข้าถึง การป้องกันและระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่านหรือบุคคลอื่น การควบคุมและป้องกันโรคติดต่อ และเพื่อประโยชน์ในการดูแลรักษาความปลอดภัย ของบริเวณอาคาร ภายในอาคาร และพื้นที่ของบริษัท
7.7.เพื่อปฏิบัติตามกฎหมายหรือกฎระเบียบที่ใช้บังคับกับบริษัททั้งในปัจจุบันและในอนาคต
ข้อมูลส่วนบุคคลที่บริษัทดำเนินการเก็บรวบรวมเพื่อวัตถุประสงค์ข้างต้นเป็นข้อมูลที่จำเป็นในการปฏิบัติตามสัญญาหรือการปฏิบัติตามกฎหมายต่าง ๆ ที่ใช้บังคับ ทั้งนี้หากภายหลังมีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทจะแจ้งให้เจ้าของข้อมูลทราบ และดำเนินการอื่นใดตามที่กฎหมายกำหนด รวมถึงจัดให้มีบันทึกการแก้ไขเพิ่มเติมไว้เป็นหลักฐาน
8.การโอนข้อมูลส่วนบุคคล
บริษัทอาจมีความจำเป็นในการเปิดเผยข้อมูลส่วนบุคคลให้แก่บริษัทในกลุ่ม หรือบุคคลหรือหน่วยงานอื่นที่เป็นพันธมิตรทางกลยุทธ์ทั้งในประเทศและต่างประเทศ ซึ่งทำงานร่วมกับบริษัทในการจัดหาผลิตภัณฑ์และให้บริการในรูปแบบต่าง ๆ หรือตามความจำเป็นตามสมควรในการบังคับใช้ข้อกำหนดและเงื่อนไขของบริษัทหรือกรณีที่มีการปรับโครงสร้างองค์กร
การควบรวมบริษัท หรือการขายกิจการ และอาจมีการเปิดเผยข้อมูลส่วนบุคคลให้กับหน่วยงานราชการหรือหน่วยงานภาครัฐตามข้อบังคับของกฎหมายหรือตามคำสั่งศาลหรือตามคำสั่งเจ้าหน้าที่ผู้มีอำนาจ โดยข้อมูลส่วนบุคคลจะได้รับการเก็บรักษาเป็นความลับ ทั้งในรูปเอกสารและข้อมูลอิเล็กทรอนิกส์ รวมทั้งในระหว่างการส่งผ่านข้อมูลทุกขั้นตอน
ทั้งนี้ ในกรณีที่ต้องมีการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะดำเนินการตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้อย่างเคร่งครัด
9.สิทธิของเจ้าของข้อมูล
เจ้าของข้อมูลส่วนบุคคล มีสิทธิตามที่กำหนดไว้โดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนี้
9.1 สิทธิในการเพิกถอนความยินยอม
เจ้าของข้อมูล มีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมกับบริษัทได้ เว้นแต่การเพิกถอนความยินยอมจะมีข้อจำกัดโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูล ทั้งนี้ การเพิกถอนความยินยอมจะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคล ได้ให้ความยินยอมไปแล้วโดยชอบด้วยกฎหมาย
9.2 สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลของตน ซึ่งอยู่ในความรับผิดชอบของบริษัทรวมถึงขอให้บริษัทเปิดเผยการได้มาซึ่งข้อมูลดังกล่าวที่มิได้ให้ความยินยอมต่อบริษัทได้
9.3 สิทธิในการขอให้ส่งหรือโอนข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิขอให้บริษัทโอนข้อมูลส่วนบุคคลของตน ที่ได้ให้ไว้กับบริษัทได้ตามที่กฎหมายกำหนด
9.4 สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิในการคัดค้านการประมวลผลข้อมูลที่เกี่ยวกับตนเอง สำหรับกรณีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนได้ตามที่กฎหมายกำหนด
9.5 สิทธิในการขอลบข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิขอให้บริษัทลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ตามที่กฎหมายกำหนด
9.6 สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิขอให้บริษัทระงับการใช้ข้อมูลของตนได้ตามที่กฎหมายกำหนด
9.7 สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
กรณีที่เจ้าของข้อมูล เห็นว่าข้อมูลที่บริษัทมีอยู่นั้นไม่ถูกต้องหรือมีการเปลี่ยนแปลงข้อมูลส่วนบุคคลของตน เจ้าของข้อมูลมีสิทธิขอให้บริษัทแก้ไขข้อมูลส่วนบุคคลของตนเพื่อให้ข้อมูลส่วนบุคคลดังกล่าวถูกต้อง เป็นปัจจุบัน สมบูรณ์
9.8 สิทธิในการรับทราบกรณีมีการแก้ไขเปลี่ยนแปลงแบบแจ้งเกี่ยวกับข้อมูลส่วนบุคคล
บริษัทอาจมีการพิจารณาทบทวนและแก้ไขเปลี่ยนแปลงแบบแจ้งนี้ตามความเหมาะสม เพื่อให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลได้รับความคุ้มครองอย่างเหมาะสม
9.9 สิทธิในการร้องเรียน
เจ้าของข้อมูลมีสิทธิในการร้องเรียนต่อพนักงานเจ้าหน้าที่ผู้มีอำนาจตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หากบริษัทฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัตินี้ ได้
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลยื่นคำร้องขอใช้สิทธิภายใต้บทบัญญัติของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เมื่อบริษัทได้รับคำร้องขอดังกล่าวแล้ว บริษัทจะดำเนินการภายในระยะเวลาที่กฎหมายกำหนด
ทั้งนี้ บริษัทสงวนสิทธิที่จะปฏิเสธหรือไม่ดำเนินการตามคำร้องขอดังกล่าวได้ในกรณีที่กฎหมายกำหนด ในกรณีที่เจ้าของข้อมูลมีข้อจำกัดโดยเลือกที่จะให้ข้อมูลส่วนบุคคลบางส่วน ซึ่งอาจส่งผลให้ ไม่สามารถใช้สิทธิได้อย่างสมบูรณ์