นโยบายคุ้มครองข้อมูลส่วนบุคคล

บริษัท ศรีสวัสดิ์ แคปปิตอล 1969 จำกัด (มหาชน) (“ บริษัทฯ”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล (“ท่าน”) จึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ (“นโยบาย”) เพื่อกำหนดหลักการและแนวทางสำหรับการปฏิบัติงานของบริษัทฯ ที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล (“ ประมวลผล”) รวมถึงสิทธิต่าง ๆ ของท่านในฐานะเจ้าของข้อมูลส่วนบุคคลตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล”) กำหนด

ประเภทข้อมูลส่วนบุคคลที่กลุ่มบริษัทฯ ประมวลผล

บริษัทฯ ประมวลผลข้อมูลส่วนบุคคลของท่าน โดยพิจารณาจากวัตถุประสงค์ของการนำไปใช้ ซึ่งข้อมูลส่วนบุคคลที่บริษัทฯ ประมวลผลข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ โดยอาจจัดเป็นข้อมูลส่วนบุคคล 2 ประเภท ด้งนี้

1 ข้อมูลส่วนบุคคลทั่วไป

1. ข้อมูลส่วนตัว เช่น ชื่อ นามสกุล เพศ อายุ วันเดือนปีเกิด สัญชาติ หมายเลขบัตรประจำตัวประชาชน หมายเลขหนังสือเดินทาง สถานภาพการสมรส รูปถ่าย
2. ข้อมูลการติดต่อ เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล
3. ข้อมูลทางการเงิน เช่น เลขบัญชีเงินฝากธนาคาร
4. ข้อมูลอุปกรณ์ เช่น IP address คุกกี้ ภาพจากกล้องวงจรปิด (CCTV)

2 ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Data) หมายถึง ข้อมูลส่วนบุคคลตามมาตรา 26 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เช่น เชื้อชาติ ข้อมูลสุขภาพ ความเชื่อทางศาสนา ข้อมูลชีวภาพ

ทั้งนี้ “ข้อมูลส่วนบุคคล” ที่กล่าวไว้ในนโยบายฉบับนี้ จะหมายความรวมถึง ข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหว

การเก็บรวบรวมข้อมูลส่วนบุคคล

โดยทั่วไปบริษัทฯ จะดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของท่านโดยตรงผ่านกิจกรรมต่าง ๆ ระหว่างท่านกับบริษัทฯ อย่างไรก็ตาม ในบางกรณี กลุ่มบริษัทฯ อาจได้รับข้อมูลส่วนบุคคลของท่านจากแหล่งอื่น เช่น

1. ข้อมูลส่วนบุคคลที่ได้รับจากบริษัทในบริษัทฯ
2. ข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับจากบริษัทพันธมิตรทางธุรกิจ
3. ข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับจากบุคคลที่มีความเกี่ยวเนื่องกับท่าน เช่น บุคคลในครอบครัวของท่าน ผู้แนะนำ ผู้ติดต่อ ซึ่งได้แจ้งหรือแสดงให้บริษัทฯ ว่าเป็นผู้มีสิทธิแจ้งข้อมูลส่วนบุคคลของท่านต่อบริษัทฯ เพื่อวัตถุประสงค์ในการประมวลผลตามนโยบายฉบับนี้

วัตถุประสงค์ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล

บริษัทฯ เก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านเพื่อดำเนินการต่าง ๆ ตามขอบเขตและวัตถุประสงค์ดังต่อไปนี้

1 กรณีท่านเป็นลูกค้าของบริษัทฯ

1. เพื่อเข้าทำสัญญากับท่านตามที่ท่านได้ตกลงกับบริษัทฯ
2. เพื่อให้บริการแก่ท่านตามสัญญาที่ท่านได้ตกลงไว้กับบริษัท
3. เพื่อดำเนินการชำระเงินตามสัญญาระหว่างท่านกับบริษัท
4. เพื่อนำเสนอข่าวสารที่น่าสนใจ ข้อเสนอ สิทธิประโยชน์ และโปรโมชันของบริษัท
5. เพื่อวัตถุประสงค์ทางการตลาด และการวิเคราะห์ข้อมูล
6. เพื่อรักษาความปลอดภัยภายในบริษัท เช่น การบันทึกภาพด้วยกล้องวงจรปิด (CCTV)
7. เพื่อระงับข้อพิพาทหรือข้อขัดแย้งที่อาจเกิดขึ้นระหว่างท่านกับบริษัทอันเกี่ยวข้องกับการให้บริการ
8. เพื่อปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือกฎหมายอื่นที่เกี่ยวข้องกับวัตถุประสงค์ข้างต้น

2 กรณีท่านเป็นผู้ขายสินค้าหรือผู้ให้บริการของบริษัท

1. เพื่อคัดเลือกบุคลากรเข้าทำงาน และการฝึกงาน
2. เพื่อดำเนินการตามสัญญาจ้างระหว่างท่านกับบริษัท เช่น การจ่ายเงินเดือน
3. เพื่อปฏิบัติตามกฎหมายที่บังคับต่อบริษัทในฐานะนายจ้าง เช่น คุ้มครองแรงงาน กองทุนประกันสังคม กองทุนเงินทดแทน กรมสรรพากร เป็นต้น
4. เพื่อรักษาความปลอดภัยภายในบริษัท เช่น การบันทึกภาพด้วยกล้องวงจรปิด (CCTV)
5. เพื่อระงับข้อพิพาทหรือข้อขัดแย้งที่อาจเกิดขึ้นระหว่างท่านกับบริษัทอันเกี่ยวข้องกับการปฏิบัติตามสัญญา
6. เพื่อปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือกฎหมายอื่นที่เกี่ยวข้องกับวัตถุประสงค์ข้างต้น

บริษัท อาศัยฐานทางกฎหมายดังต่อไปนี้ในการประมวลผลข้อมูลส่วนบุคคลของท่าน โดยการประมวลผลข้อมูลส่วนบุคคลของท่านอาจอาศัยฐานทางกฎหมายเพียงฐานใดฐานหนึ่งหรือหลายฐานประกอบกันก็ได้

1. ฐานสัญญา บริษัท มีหน้าที่ในการประมวลผลข้อมูลส่วนบุคคลของท่านเพื่อเข้าทำสัญญากับท่านหรือดำเนินการตามปฏิบัติตามสัญญาที่มีไว้กับท่าน ในกรณีที่ท่านไม่ให้ข้อมูลส่วนบุคคลใดแก่บริษัทเพื่อวัตถุประสงค์ที่กำหนดไว้ บริษัท ไม่อาจเข้าทำสัญญาหรือดำเนินการปฏิบัติตามสัญญานั้นได้
2. ฐานประโยชน์อันชอบธรรม บริษัท อาจจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลของท่าน เพื่อประโยชน์อันชอบธรรมของบริษัท หรือบุคคลอื่น ทั้งนี้ ประโยชน์อันชอบธรรมดังกล่าวจะไม่มีความสำคัญเกินกว่าประโยชน์และสิทธิและเสรีภาพขั้นพื้นฐานของท่าน
3. ฐานความยินยอม บริษัท อาจจำเป็นต้องได้รับความยินยอมโดยชัดแจ้งจากท่านในการประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหว และ/หรือเพื่อวัตถุประสงค์อื่นใดที่ไม่สามารถใช้ฐานอื่น ๆ ในการประมวลผลข้อมูลส่วนบุคคลของท่านได้
4. ฐานหน้าที่ตามกฎหมาย บริษัท อาจจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลของท่านเพื่อปฏิบัติหน้าที่ตามที่กฎหมายกำหนด

การเปิดเผยข้อมูลส่วนบุคคล

บริษัท อาจจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่บุคคลภายนอก เพื่อประมวลผลข้อมูลส่วนบุคคลของท่าน โดยบุคคลดังกล่าวอาจรวมถึงแต่ไม่จำกัดเพียง

1. บริษัท
2. พันธมิตรทางธุรกิจ
3. หน่วยงานภาครัฐ และหน่วยงานกำกับดูแล เช่น กรรมสรรพากร
4. ผู้ให้บริการภายนอก เช่น ผู้ให้บริการด้านเทคโนโลยีสารสนเทศ ผู้ให้บริการวิเคราะห์ข้อมูล
5. ที่ปรึกษา และผู้ตรวจสอบบัญชี
6. สถาบันการเงิน เช่น ธนาคารที่ให้บริการรับชำระเงิน

การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

เพื่อวัตถุประสงค์ที่ระบุไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ บริษัท อาจเปิดเผยหรือโอนข้อมูลส่วนบุคคลของท่านไปยังบุคคล องค์กร หรือเซิร์ฟเวอร์ (serveที่ตั้งอยู่ในต่างประเทศ ซึ่งอาจจะมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลเช่นเดียวกับประเทศไทยหรือไม่ก็ได้ โดยบริษัท จะดำเนินการตามมาตรการต่าง ๆ เพื่อให้ท่านมั่นใจได้ว่าข้อมูลส่วนบุคคลของท่านถูกโอนไปอย่างปลอดภัยและผู้รับข้อมูลมีการใช้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม และการโอนข้อมูลส่วนบุคคลดังกล่าวเป็นไปตามที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กำหนด

ระยะเวลาจัดเก็บข้อมูลส่วนบุคคล

บริษัท จะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้ตามระยะเวลาที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวข้องกับนโยบายฉบับนี้ อย่างไรก็ตามบริษัท อาจจำเป็นต้องเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้ต่อไปภายหลังจากนั้นหากมีกฎหมายที่ใช้บังคับกำหนดไว้ โดยบริษัท จะทำการลบ ทำลาย หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวตนของท่านได้เมื่อหมดความจำเป็นหรือสิ้นสุดระยะเวลาดังกล่าว

สิทธิของเจ้าของข้อมูลส่วนบุคคล

เมื่อ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ในส่วนที่เกี่ยวข้องกับสิทธิของเจ้าของข้อมูลส่วนบุคคลมีผลบังคับใช้ ท่านมีสิทธิดังต่อไปนี้ ภายใต้หลักเกณฑ์และเงื่อนไขที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กำหนด

1. สิทธิในการเพิกถอนความยินยอม (right to withdraw consent) ในกรณีที่บริษัท ได้รับความยินยอมจากท่านในการประมวลผลข้อมูลส่วนบุคคล ท่านมีสิทธิที่จะถอนความยินยอมดังกล่าวเมื่อใดก็ได้ โดยการส่งหนังสือเพิกถอนความยินยอมให้แก่บริษัท
2. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of access) ท่านมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลทั้งหมดที่เกี่ยวกับท่าน รวมทั้งการขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ท่านไม่ได้ให้ความยินยอม
3. สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability) ท่านมีสิทธิขอให้บริษัท ส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังบุคคลอื่น
4. สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object) ท่านมีสิทธิคัดค้านการประมวลผลข้อมูลส่วนบุคคลของท่านที่บริษัท ประมวลผลภายใต้ฐานผลประโยชน์อันชอบธรรมของบริษัท นอกจากนี้ ท่านยังมีสิทธิคัดค้านการประมวลผลข้อมูลส่วนบุคคลของท่าน หากบริษัท ประมวลผลข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์ทางการตลาด และเกี่ยวกับการรวบรวมข้อมูลที่เป็นประโยชน์ (Profiling)
5. สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ (right to erasure) ท่านมีสิทธิขอลบหรือทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลของท่านเป็นข้อมูลส่วนบุคคลที่ไม่สามารถระบุตัวท่านได้ เว้นแต่บริษัท จะมีเหตุอันชอบด้วยกฎหมายในการปฏิเสธคำขอของท่าน
6. สิทธิขอให้ระงับการประมวลผลข้อมูลส่วนบุคคล (right to restriction of processing) ท่านอาจมีสิทธิร้องขอให้บริษัท ระงับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของท่าน ในกรณีดังต่อไปนี้
   • ในกรณีที่อยู่ระหว่างขั้นตอนการตรวจสอบตามที่ท่านได้ร้องขอใช้สิทธิในการแก้ไขข้อมูลส่วนบุคคลของท่าน
   • ในกรณีที่เกี่ยวกับข้อมูลส่วนบุคคลที่ท่านได้เคยร้องขอให้บริษัท ลบข้อมูลดังกล่าว แต่ท่านได้ใช้สิทธิร้องขอเพิ่มเติมให้บริษัท ระงับการประมวลผลข้อมูลส่วนบุคคลของท่านแทนในภายหลัง
   • ในกรณีที่ระยะเวลาการประมวลผลข้อมูลส่วนบุคคลได้สิ้นสุดลง แต่ท่านได้ร้องขอให้บริษัท ระงับการประมวลผลข้อมูลเนื่องด้วยเหตุผลทางกฎหมาย
   • ในกรณีที่อยู่ระหว่างขั้นตอนการตรวจสอบการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
7. สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (right to rectification) ท่านมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
8. สิทธิในการยื่นเรื่องร้องเรียน (right to lodge a complaint) ท่านมีสิทธิยื่นข้อร้องเรียนต่อบริษัท หน่วยงานของรัฐที่เกี่ยวข้อง รวมไปถึงคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
   ท่านสามารถใช้สิทธิดังกล่าวได้โดยการแจ้งบริษัท ผ่านช่องทางและวิธีการที่บริษัท กำหนด โดยบริษัท ขอสงวนสิทธิ์ในการพิจารณาและดำเนินการตามคำขอใช้สิทธิของท่านตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนด

การรักษาความมั่งคงปลอดภัยของข้อมูลส่วนบุคคล

บริษัท จัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลทั้งมาตรการเชิงองค์กร (Organizational Measures) และมาตรการเชิงเทคนิค (Technical Measures) ตามหลักการรักษาความลับ (Confidentiality) การรักษาความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งานของข้อมูล (Availability) เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผย นอกจากนี้ บริษัท จะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control)

ทั้งนี้ บริษัท จะจำกัดการเข้าถึงข้อมูลส่วนบุคคลของท่าน โดยจะอนุญาตให้เฉพาะบุคคลที่มีความจำเป็นจะต้องเข้าถึงข้อมูลส่วนบุคคลนั้นเพื่อปฏิบัติหน้าที่ของตน ในกรณีที่บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลท่านจะต้องเป็นการประมวลผลตามคำสั่งของบริษัท ตามที่กำหนดในสัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลเท่านั้น

กรณีเกิดเหตุการละเมิดข้อมูลส่วนบุคคล

ในกรณีที่มีเหตุละเมิดข้อมูลส่วนบุคคลของท่านเกิดขึ้น บริษัท จะแจ้งให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุ ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของท่าน บริษัทฯ จะแจ้งถึงเหตุการณ์ละเมิดให้ท่านทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าผ่านช่องทางต่าง ๆ

การจัดการข้อมูลส่วนบุคคลบางกรณี

10.1 ลูกค้า และผู้ขายสินค้าหรือผู้ให้บริการ

กรณีที่ท่านเป็นลูกค้าหรือผู้ขายสินค้าหรือผู้ให้บริการแก่บริษัท บริษัท อาจขอให้ท่านแจ้งการแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน และสมบูรณ์

10.2 พนักงานของบริษัท

กรณีที่ท่านเป็นพนักงานของบริษัท ซึ่งดำเนินงานเกี่ยวข้องกับข้อมูลส่วนบุคคล บริษัท ขอให้ท่านดำเนินการดังต่อไปนี้

1. ปฏิบัติตามและให้ความสำคัญต่อการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และนโยบายฉบับนี้อย่างเคร่งครัด ในกรณีที่พนักงานไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือนโยบายฉบับนี้ ถือเป็นความผิดต่อหน้าที่อย่างร้ายแรง ซึ่งอาจถูกลงโทษทางวินัยตามกระบวนการของบริษัท และอาจมีความผิดและรับโทษตามที่กฎหมายกำหนด
2. เข้ารับการฝึกอบรมด้านการคุ้มครองข้อมูลส่วนบุคคลตามกำหนดการจัดอบรม และเมื่อได้รับแจ้งให้เข้ารับการอบรม โดยต้องให้ความสำคัญและให้ความร่วมมือในการเข้ารับการอบรมความรู้อย่างเคร่งครัด
3. ไม่กระทำการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาอันเนื่องจากการปฏิบัติงานให้แก่บุคคลอื่น เว้นแต่กฎหมายกำหนดไว้เป็นอย่างอื่น
4. รายงานกรณีพบเหตุการละเมิดข้อมูลส่วนบุคคลให้หัวหน้าหน่วยงานทราบเพื่อร่วมกันตรวจสอบข้อเท็จจริงของเหตุการณ์ดังกล่าว และแจ้งข้อมูลให้หน่วยงานกำกับดูแลทราบทันทีเมื่อพบเหตุการละเมิดข้อมูลส่วนบุคคล เพื่อแจ้งข้อมูลต่อสำนักงานฯ ต่อไป ภายในระยะเวลาที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

การแก้ไขเปลี่ยนแปลงนโยบาย

บริษัท อาจแก้ไขเปลี่ยนแปลงนโยบายนี้เป็นครั้งคราว โดยท่านสามารถทราบข้อกำหนดและเงื่อนไขนโยบายที่มีการแก้ไขเปลี่ยนแปลงนี้ได้ผ่านช่องทางการสื่อสารของบริษัท ตามที่บริษัท เห็นสมควร

รายละเอียดการติดต่อบริษัท

หากท่านมีข้อเสนอแนะหรือต้องการสอบถามข้อมูลเกี่ยวกับรายละเอียดการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน รวมถึงการขอใช้สิทธิตามกฎหมาย ท่านสามารถติดต่อได้ที่ช่องทางดังต่อไปนี้ dpo@srisawadcapital.co.th

นโยบายนี้ให้มีผลใช้บังคับตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป