Privacy Policy
นโยบายการคุ้มครองข้อมูลส่วนบุคคล
บริษัท เฮกซ่าเทค โซลูชั่นส์ จำกัด (ต่อไปนี้จะเรียกว่า “บริษัท”, “เรา”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล จึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ขึ้น โดยนโยบายนี้ได้อธิบายถึงวิธีการที่บริษัทปฏิบัติต่อข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย รวมถึงสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น เพื่อให้เจ้าของข้อมูลได้รับทราบถึงนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของบริษัท บริษัทจึงประกาศนโยบายฯ ดังต่อไปนี้
1. คำนิยาม
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลอ่อนไหว” หมายถึง ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ตามมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“เจ้าหน้าที่ผู้รับผิดชอบด้านการคุ้มครองข้อมูลส่วนบุคคล” หมายถึง บุคคลซึ่งบริษัทแต่งตั้งให้ทำหน้าที่กำกับดูแล ให้คำแนะนำ และตรวจสอบการดำเนินการของบริษัทให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
2. การเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทจะทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยมี วัตถุประสงค์ ขอบเขต และใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม โดยในการเก็บรวบรวมนั้นจะทำเพียงเท่าที่จำเป็นแก่การดำเนินงานภายใต้วัตถุประสงค์ของบริษัทเท่านั้น ทั้งนี้ บริษัทจะดำเนินการให้เจ้าของข้อมูล รับรู้ ให้ความยินยอมทางอิเล็กทรอนิกส์ หรือตามแบบวิธีการของบริษัท กรณีที่บริษัทจัดเก็บข้อมูลส่วนบุคคลอ่อนไหวของเจ้าของข้อมูล บริษัทจะขอความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้งก่อนทำการเก็บรวบรวม เว้นแต่การเก็บข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลอ่อนไหวจะเข้าข้อยกเว้นตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายอื่นกำหนดไว้
3. ฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
บริษัทจะประมวลผลข้อมูลส่วนบุคคลโดยอาศัยฐานทางกฎหมายอย่างน้อยหนึ่งฐาน ตามมาตรา 24 และมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังต่อไปนี้
(1) ความยินยอม (Consent) : เจ้าของข้อมูลได้ให้ความยินยอมโดยชัดแจ้ง
(2) การปฏิบัติตามสัญญา (Contract) : จำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลเป็นคู่สัญญา
(3) การปฏิบัติตามกฎหมาย (Legal Obligation) : จำเป็นเพื่อการปฏิบัติตามกฎหมายที่บริษัทมีหน้าที่ต้องปฏิบัติตาม
(4) ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) : จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือของบุคคลอื่น โดยประโยชน์ดังกล่าวมีความสำคัญไม่น้อยกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูล
4. วัตถุประสงค์ในการเก็บรวบรวม หรือใช้ข้อมูลส่วนบุคคล
บริษัทจะทำการเก็บรวบรวม หรือใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูล เพื่อประโยชน์ในการดำเนินงานของบริษัท เช่น การจัดซื้อจัดจ้าง การทำสัญญา การทำธุรกรรมทางการเงิน การดำเนินกิจกรรมบริษัท การติดต่อประสานงานต่าง ๆ หรือเพื่อปรับปรุงคุณภาพการทำงานให้มีประสิทธิภาพมากยิ่งขึ้น และเพื่อวัตถุประสงค์อื่นใดที่ไม่ต้องห้ามตามกฎหมาย และ/หรือเพื่อปฏิบัติตามกฎหมายหรือกฎระเบียบที่เกี่ยวข้องต่อการดำเนินงานของบริษัท
บริษัทจะไม่กระทำการใด ๆ แตกต่างจากที่ระบุในวัตถุประสงค์ของการเก็บรวบรวมข้อมูล เว้นแต่
(1) ได้แจ้งวัตถุประสงค์ใหม่ให้แก่เจ้าของข้อมูลทราบ และได้รับความยินยอมจากเจ้าของข้อมูล
(2) เป็นการปฏิบัติตามพระราชบัญญัติข้อมูลส่วนบุคคล หรือกฎหมายอื่นที่เกี่ยวข้อง
5. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
บริษัทจะจัดเก็บและใช้ข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลหรือตามที่กฎหมายกำหนดไว้เท่านั้น บริษัทจะจัดทำบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities: RoPA) เพื่อแสดงให้เห็นถึงระยะเวลาเก็บรักษาของแต่ละประเภทข้อมูล ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
6. การเปิดเผยข้อมูลส่วนบุคคล
บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปให้บุคคลใดโดยปราศจากความยินยอม และจะเปิดเผยตามวัตถุประสงค์ที่ได้มีการแจ้งไว้ อย่างไรก็ดี เพื่อให้เป็นประโยชน์ต่อการดำเนินงานของบริษัทและการให้บริการแก่เจ้าของข้อมูล บริษัทอาจมีความจำเป็นในการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ให้แก่บริษัทในเครือ หรือบุคคลอื่นทั้งในและต่างประเทศ เช่น ผู้ให้บริการต่าง ๆ ที่ต้องดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล โดยในการเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลดังกล่าว บริษัทจะดำเนินการให้บุคคลเหล่านั้นเก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับ และไม่นำไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากขอบเขตที่บริษัทได้กำหนดไว้นอกจากนี้ บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ภายใต้หลักเกณฑ์ที่กฎหมายกำหนด เช่น การเปิดเผยข้อมูลต่อหน่วยงานราชการ หน่วยงานภาครัฐ หน่วยงานกำกับดูแล รวมถึงในกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย เช่น การร้องขอข้อมูลเพื่อการฟ้องร้องหรือดำเนินคดีตามกฎหมาย หรือการร้องขอจากหน่วยงานเอกชน หรือบุคคลภายนอกอื่น ๆ ที่มีความเกี่ยวข้องกับกระบวนการทางกฎหมาย ทั้งนี้ ในการเปิดเผยหรือส่งต่อข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก (Third Party) บริษัทจะดำเนินการดังต่อไปนี้
(1) จัดทำสัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA) กับผู้ให้บริการหรือผู้รับจ้างช่วงที่เกี่ยวข้อง
(2) กำกับดูแลและติดตามผลการปฏิบัติตามข้อตกลงด้านการคุ้มครองข้อมูลส่วนบุคคลของบุคคลภายนอกอย่างสม่ำเสมอ รวมถึงจัดให้มีแผนการตรวจสอบ (Audit Plan) ตามความเหมาะสม
(3) ใช้มาตรการด้านความปลอดภัยในการส่งข้อมูล เช่น การเข้ารหัสข้อมูล (Encryption) หรือการทำข้อมูลนิรนาม (Anonymisation) ตามความเหมาะสม
(4) จัดทำและปรับปรุงทะเบียนรายชื่อบุคคลภายนอกที่มีการประมวลผลข้อมูลส่วนบุคคลให้เป็นปัจจุบันอยู่เสมอ ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะดำเนินการให้ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ หรือมีมาตรการคุ้มครองที่เหมาะสมตามที่กฎหมายกำหนด ตามมาตรา 28 และมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
7. แนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคคล
บริษัทจะกำหนดมาตรการต่าง ๆ รวมถึงมาตรการด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่สอดคล้องกับกฎหมาย ระเบียบ หลักเกณฑ์ และแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่พนักงานของบริษัทและบุคคลอื่นที่เกี่ยวข้อง รวมถึงสนับสนุนและส่งเสริมให้พนักงานมีความรู้และตระหนักถึงหน้าที่และความรับผิดชอบในการเก็บรวบรวม การจัดเก็บรักษา การใช้ และการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล โดยพนักงานของบริษัทต้องปฏิบัติตามนโยบายฯ และแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลตามที่บริษัทกำหนดไว้ เพื่อให้บริษัทสามารถปฏิบัติตามนโยบายและกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้องและมีประสิทธิภาพ ทั้งนี้ มาตรการรักษาความมั่นคงปลอดภัยของบริษัทอย่างน้อยต้องครอบคลุมหลักการ 3 ประการ ได้แก่ ความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 นอกจากนี้ บริษัทจะดำเนินมาตรการด้านความปลอดภัยเพิ่มเติม ดังนี้
(1) การควบคุมการเข้าถึงข้อมูล (Access Control) : บริษัทจะกำหนดสิทธิ์การเข้าถึงข้อมูลตามหน้าที่และความรับผิดชอบของผู้ใช้งาน (Role-Based Access Control: RBAC) โดยใช้หลักการให้สิทธิ์เท่าที่จำเป็น (Least Privilege) และอาจกำหนดให้ใช้การยืนยันตัวตนหลายปัจจัย (Multi-Factor Authentication: MFA) สำหรับระบบที่มีข้อมูลส่วนบุคคล
(2) การบันทึกและตรวจสอบกิจกรรม (Audit Logs) : บริษัทจะจัดให้มีระบบบันทึกการเข้าถึงและการดำเนินการกับข้อมูลส่วนบุคคล (Access Log / Activity Log) เพื่อให้สามารถตรวจสอบย้อนหลังได้ในกรณีที่จำเป็น และ
(3) การทำลายข้อมูลส่วนบุคคล (Data Destruction) เมื่อพ้นระยะเวลาเก็บรักษา บริษัทจะดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลด้วยวิธีการที่ปลอดภัย ไม่สามารถกู้คืนได้
8. การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
ในกรณีที่เกิดเหตุการละเมิดข้อมูลส่วนบุคคล บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะดำเนินการแจ้งเหตุต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง นับแต่ทราบเหตุ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล และหากการละเมิดนั้นมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูล บริษัทจะแจ้งให้เจ้าของข้อมูลทราบโดยไม่ชักช้า ตามมาตรา 37 (4) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 นอกจากการแจ้งต่อหน่วยงานภายนอกดังกล่าว บริษัทยังกำหนดกระบวนการแจ้งเหตุภายในองค์กร ดังนี้ เมื่อพนักงานหรือผู้ที่เกี่ยวข้องพบหรือสงสัยว่าเกิดเหตุการละเมิดข้อมูลส่วนบุคคล จะต้องรายงานต่อเจ้าหน้าที่ผู้รับผิดชอบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Contact Person) ทันทีและอย่างช้าภายใน 24 ชั่วโมง นับแต่ทราบเหตุ เพื่อให้เจ้าหน้าที่ผู้รับผิดชอบด้านการคุ้มครองข้อมูลส่วนบุคคล ทำการประเมินความเสี่ยง รวบรวมข้อมูล และประสานงานดำเนินการตามขั้นตอนที่กำหนดต่อไป
9. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังต่อไปนี้
(1) สิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ได้ให้ ความยินยอมไว้ ทั้งนี้ การเพิกถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว
(2) สิทธิในการเข้าถึงข้อมูลส่วนบุคคลและขอทำสำเนาข้อมูลส่วนบุคคล รวมถึงการขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่ไม่ได้ให้ความยินยอม
(3) สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
(4) สิทธิในการลบข้อมูลส่วนบุคคล
(5) สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล
(6) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล
(7) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
เจ้าของข้อมูลสามารถขอใช้สิทธิดังกล่าวข้างต้นได้ โดยยื่นคำร้องขอใช้สิทธิต่อบริษัทเป็นลายลักษณ์อักษรหรือผ่านทางจดหมายอิเล็กทรอนิกส์ตามแบบฟอร์มที่บริษัทกำหนด ผ่าน “ช่องทางการติดต่อของบริษัท” ด้านล่าง โดยบริษัทจะพิจารณาและแจ้งผลการพิจารณาตามคำร้องฯ ของเจ้าของข้อมูล ภายใน 30 วัน นับแต่วันที่ได้รับคำร้องฯ ดังกล่าว ทั้งนี้ บริษัทอาจปฏิเสธสิทธิของเจ้าของข้อมูลได้ในกรณีที่มีกฎหมายกำหนดไว้ ในการรับคำร้องขอใช้สิทธิ บริษัทจะดำเนินการยืนยันตัวตนของผู้ยื่นคำร้องก่อนดำเนินการทุกครั้ง เพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต โดยอาจขอเอกสารยืนยันตัวตน เช่น สำเนาบัตรประชาชน หรือวิธีการอื่นที่เหมาะสม นอกจากนี้ บริษัทจะจัดให้มีระบบบันทึกคำร้องขอใช้สิทธิ (Rights Request Log) เพื่อติดตามสถานะและผลการดำเนินการ รวมถึงเพื่อแสดงความรับผิดชอบ (Accountability) ตามหลักการของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
10. การทบทวนและเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
บริษัทอาจทำการปรับปรุงหรือแก้ไขนโยบายนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับข้อกำหนดตามกฎหมาย การเปลี่ยนแปลงการดำเนินงานของบริษัท รวมถึงข้อเสนอแนะและความคิดเห็นจากหน่วยงานต่าง ๆ โดยบริษัทจะประกาศแจ้งการเปลี่ยนแปลงให้ทราบอย่างชัดเจน ก่อนจะเริ่มดำเนินการเปลี่ยนแปลง
11. ผู้ประสานงานและช่องทางการติดต่อบริษัท
บริษัทได้กำหนดให้มีเจ้าหน้าที่ผู้รับผิดชอบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Contact Person) เพื่อทำหน้าที่รับข้อร้องเรียน ให้คำแนะนำ และประสานงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท โดยสามารถติดต่อได้ที่ เจ้าหน้าที่ผู้รับผิดชอบด้านการคุ้มครองข้อมูลส่วนบุคคล สำนักงานใหญ่ : 59/387-389 ซอยรามคำแหง 140 ถนนรามคำแหง แขวงราษฎร์พัฒนา เขตสะพานสูง กรุงเทพมหานคร 10240
อีเมล : PDPASupport@hexatechsoln.com
เลขหมายโทรศัพท์ : 02 728 0200 ต่อ 206