นโยบายคุ้มครองข้อมูลส่วนบุคคล
บริษัท ศรีสวัสดิ์ แคปปิตอล 1969 จำกัด (มหาชน) (“ บริษัทฯ”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล (“ท่าน”) จึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ (“นโยบาย”) เพื่อกำหนดหลักการและแนวทางสำหรับการปฏิบัติงานของบริษัทฯ ที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล (“ ประมวลผล”) รวมถึงสิทธิต่าง ๆ ของท่านในฐานะเจ้าของข้อมูลส่วนบุคคลตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล”) กำหนด
ประเภทข้อมูลส่วนบุคคลที่กลุ่มบริษัทฯ ประมวลผล
บริษัทฯ ประมวลผลข้อมูลส่วนบุคคลของท่าน โดยพิจารณาจากวัตถุประสงค์ของการนำไปใช้ ซึ่งข้อมูลส่วนบุคคลที่บริษัทฯ ประมวลผลข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ โดยอาจจัดเป็นข้อมูลส่วนบุคคล 2 ประเภท ด้งนี้
1 ข้อมูลส่วนบุคคลทั่วไป
- ข้อมูลส่วนตัว เช่น ชื่อ นามสกุล เพศ อายุ วันเดือนปีเกิด สัญชาติ หมายเลขบัตรประจำตัวประชาชน หมายเลขหนังสือเดินทาง สถานภาพการสมรส รูปถ่าย
- ข้อมูลการติดต่อ เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล
- ข้อมูลทางการเงิน เช่น เลขบัญชีเงินฝากธนาคาร
- ข้อมูลอุปกรณ์ เช่น IP address คุกกี้ ภาพจากกล้องวงจรปิด (CCTV)
2 ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Data) หมายถึง ข้อมูลส่วนบุคคลตามมาตรา 26 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เช่น เชื้อชาติ ข้อมูลสุขภาพ ความเชื่อทางศาสนา ข้อมูลชีวภาพ
ทั้งนี้ “ข้อมูลส่วนบุคคล” ที่กล่าวไว้ในนโยบายฉบับนี้ จะหมายความรวมถึง ข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหว
การเก็บรวบรวมข้อมูลส่วนบุคคล
โดยทั่วไปบริษัทฯ จะดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของท่านโดยตรงผ่านกิจกรรมต่าง ๆ ระหว่างท่านกับบริษัทฯ อย่างไรก็ตาม ในบางกรณี กลุ่มบริษัทฯ อาจได้รับข้อมูลส่วนบุคคลของท่านจากแหล่งอื่น เช่น
- ข้อมูลส่วนบุคคลที่ได้รับจากบริษัทในบริษัทฯ
- ข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับจากบริษัทพันธมิตรทางธุรกิจ
- ข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับจากบุคคลที่มีความเกี่ยวเนื่องกับท่าน เช่น บุคคลในครอบครัวของท่าน ผู้แนะนำ ผู้ติดต่อ ซึ่งได้แจ้งหรือแสดงให้บริษัทฯ ว่าเป็นผู้มีสิทธิแจ้งข้อมูลส่วนบุคคลของท่านต่อบริษัทฯ เพื่อวัตถุประสงค์ในการประมวลผลตามนโยบายฉบับนี้
วัตถุประสงค์ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล
บริษัทฯ เก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านเพื่อดำเนินการต่าง ๆ ตามขอบเขตและวัตถุประสงค์ดังต่อไปนี้
1 กรณีท่านเป็นลูกค้าของบริษัทฯ
- เพื่อเข้าทำสัญญากับท่านตามที่ท่านได้ตกลงกับบริษัทฯ
- เพื่อให้บริการแก่ท่านตามสัญญาที่ท่านได้ตกลงไว้กับบริษัท
- เพื่อดำเนินการชำระเงินตามสัญญาระหว่างท่านกับบริษัท
- เพื่อนำเสนอข่าวสารที่น่าสนใจ ข้อเสนอ สิทธิประโยชน์ และโปรโมชันของบริษัท
- เพื่อวัตถุประสงค์ทางการตลาด และการวิเคราะห์ข้อมูล
- เพื่อรักษาความปลอดภัยภายในบริษัท เช่น การบันทึกภาพด้วยกล้องวงจรปิด (CCTV)
- เพื่อระงับข้อพิพาทหรือข้อขัดแย้งที่อาจเกิดขึ้นระหว่างท่านกับบริษัทอันเกี่ยวข้องกับการให้บริการ
- เพื่อปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือกฎหมายอื่นที่เกี่ยวข้องกับวัตถุประสงค์ข้างต้น
2 กรณีท่านเป็นผู้ขายสินค้าหรือผู้ให้บริการของบริษัท
- เพื่อคัดเลือกบุคลากรเข้าทำงาน และการฝึกงาน
- เพื่อดำเนินการตามสัญญาจ้างระหว่างท่านกับบริษัท เช่น การจ่ายเงินเดือน
- เพื่อปฏิบัติตามกฎหมายที่บังคับต่อบริษัทในฐานะนายจ้าง เช่น คุ้มครองแรงงาน กองทุนประกันสังคม กองทุนเงินทดแทน กรมสรรพากร เป็นต้น
- เพื่อรักษาความปลอดภัยภายในบริษัท เช่น การบันทึกภาพด้วยกล้องวงจรปิด (CCTV)
- เพื่อระงับข้อพิพาทหรือข้อขัดแย้งที่อาจเกิดขึ้นระหว่างท่านกับบริษัทอันเกี่ยวข้องกับการปฏิบัติตามสัญญา
- เพื่อปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือกฎหมายอื่นที่เกี่ยวข้องกับวัตถุประสงค์ข้างต้น
บริษัท อาศัยฐานทางกฎหมายดังต่อไปนี้ในการประมวลผลข้อมูลส่วนบุคคลของท่าน โดยการประมวลผลข้อมูลส่วนบุคคลของท่านอาจอาศัยฐานทางกฎหมายเพียงฐานใดฐานหนึ่งหรือหลายฐานประกอบกันก็ได้
- ฐานสัญญา บริษัท มีหน้าที่ในการประมวลผลข้อมูลส่วนบุคคลของท่านเพื่อเข้าทำสัญญากับท่านหรือดำเนินการตามปฏิบัติตามสัญญาที่มีไว้กับท่าน ในกรณีที่ท่านไม่ให้ข้อมูลส่วนบุคคลใดแก่บริษัทเพื่อวัตถุประสงค์ที่กำหนดไว้ บริษัท ไม่อาจเข้าทำสัญญาหรือดำเนินการปฏิบัติตามสัญญานั้นได้
- ฐานประโยชน์อันชอบธรรม บริษัท อาจจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลของท่าน เพื่อประโยชน์อันชอบธรรมของบริษัท หรือบุคคลอื่น ทั้งนี้ ประโยชน์อันชอบธรรมดังกล่าวจะไม่มีความสำคัญเกินกว่าประโยชน์และสิทธิและเสรีภาพขั้นพื้นฐานของท่าน
- ฐานความยินยอม บริษัท อาจจำเป็นต้องได้รับความยินยอมโดยชัดแจ้งจากท่านในการประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหว และ/หรือเพื่อวัตถุประสงค์อื่นใดที่ไม่สามารถใช้ฐานอื่น ๆ ในการประมวลผลข้อมูลส่วนบุคคลของท่านได้
- ฐานหน้าที่ตามกฎหมาย บริษัท อาจจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลของท่านเพื่อปฏิบัติหน้าที่ตามที่กฎหมายกำหนด
การเปิดเผยข้อมูลส่วนบุคคล
บริษัท อาจจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่บุคคลภายนอก เพื่อประมวลผลข้อมูลส่วนบุคคลของท่าน โดยบุคคลดังกล่าวอาจรวมถึงแต่ไม่จำกัดเพียง
- บริษัท
- พันธมิตรทางธุรกิจ
- หน่วยงานภาครัฐ และหน่วยงานกำกับดูแล เช่น กรรมสรรพากร
- ผู้ให้บริการภายนอก เช่น ผู้ให้บริการด้านเทคโนโลยีสารสนเทศ ผู้ให้บริการวิเคราะห์ข้อมูล
- ที่ปรึกษา และผู้ตรวจสอบบัญชี
- สถาบันการเงิน เช่น ธนาคารที่ให้บริการรับชำระเงิน
การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
เพื่อวัตถุประสงค์ที่ระบุไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ บริษัท อาจเปิดเผยหรือโอนข้อมูลส่วนบุคคลของท่านไปยังบุคคล องค์กร หรือเซิร์ฟเวอร์ (serveที่ตั้งอยู่ในต่างประเทศ ซึ่งอาจจะมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลเช่นเดียวกับประเทศไทยหรือไม่ก็ได้ โดยบริษัท จะดำเนินการตามมาตรการต่าง ๆ เพื่อให้ท่านมั่นใจได้ว่าข้อมูลส่วนบุคคลของท่านถูกโอนไปอย่างปลอดภัยและผู้รับข้อมูลมีการใช้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม และการโอนข้อมูลส่วนบุคคลดังกล่าวเป็นไปตามที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กำหนด
ระยะเวลาจัดเก็บข้อมูลส่วนบุคคล
บริษัท จะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้ตามระยะเวลาที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวข้องกับนโยบายฉบับนี้ อย่างไรก็ตามบริษัท อาจจำเป็นต้องเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้ต่อไปภายหลังจากนั้นหากมีกฎหมายที่ใช้บังคับกำหนดไว้ โดยบริษัท จะทำการลบ ทำลาย หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวตนของท่านได้เมื่อหมดความจำเป็นหรือสิ้นสุดระยะเวลาดังกล่าว
สิทธิของเจ้าของข้อมูลส่วนบุคคล
เมื่อ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ในส่วนที่เกี่ยวข้องกับสิทธิของเจ้าของข้อมูลส่วนบุคคลมีผลบังคับใช้ ท่านมีสิทธิดังต่อไปนี้ ภายใต้หลักเกณฑ์และเงื่อนไขที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กำหนด
- สิทธิในการเพิกถอนความยินยอม (right to withdraw consent) ในกรณีที่บริษัท ได้รับความยินยอมจากท่านในการประมวลผลข้อมูลส่วนบุคคล ท่านมีสิทธิที่จะถอนความยินยอมดังกล่าวเมื่อใดก็ได้ โดยการส่งหนังสือเพิกถอนความยินยอมให้แก่บริษัท
- สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of access) ท่านมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลทั้งหมดที่เกี่ยวกับท่าน รวมทั้งการขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ท่านไม่ได้ให้ความยินยอม
- สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability) ท่านมีสิทธิขอให้บริษัท ส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังบุคคลอื่น
- สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object) ท่านมีสิทธิคัดค้านการประมวลผลข้อมูลส่วนบุคคลของท่านที่บริษัท ประมวลผลภายใต้ฐานผลประโยชน์อันชอบธรรมของบริษัท นอกจากนี้ ท่านยังมีสิทธิคัดค้านการประมวลผลข้อมูลส่วนบุคคลของท่าน หากบริษัท ประมวลผลข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์ทางการตลาด และเกี่ยวกับการรวบรวมข้อมูลที่เป็นประโยชน์ (Profiling)
- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ (right to erasure) ท่านมีสิทธิขอลบหรือทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลของท่านเป็นข้อมูลส่วนบุคคลที่ไม่สามารถระบุตัวท่านได้ เว้นแต่บริษัท จะมีเหตุอันชอบด้วยกฎหมายในการปฏิเสธคำขอของท่าน
- สิทธิขอให้ระงับการประมวลผลข้อมูลส่วนบุคคล (right to restriction of processing) ท่านอาจมีสิทธิร้องขอให้บริษัท ระงับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของท่าน ในกรณีดังต่อไปนี้
- ในกรณีที่อยู่ระหว่างขั้นตอนการตรวจสอบตามที่ท่านได้ร้องขอใช้สิทธิในการแก้ไขข้อมูลส่วนบุคคลของท่าน
- ในกรณีที่เกี่ยวกับข้อมูลส่วนบุคคลที่ท่านได้เคยร้องขอให้บริษัท ลบข้อมูลดังกล่าว แต่ท่านได้ใช้สิทธิร้องขอเพิ่มเติมให้บริษัท ระงับการประมวลผลข้อมูลส่วนบุคคลของท่านแทนในภายหลัง
- ในกรณีที่ระยะเวลาการประมวลผลข้อมูลส่วนบุคคลได้สิ้นสุดลง แต่ท่านได้ร้องขอให้บริษัท ระงับการประมวลผลข้อมูลเนื่องด้วยเหตุผลทางกฎหมาย
- ในกรณีที่อยู่ระหว่างขั้นตอนการตรวจสอบการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
- สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (right to rectification) ท่านมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
- สิทธิในการยื่นเรื่องร้องเรียน (right to lodge a complaint) ท่านมีสิทธิยื่นข้อร้องเรียนต่อบริษัท หน่วยงานของรัฐที่เกี่ยวข้อง รวมไปถึงคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ท่านสามารถใช้สิทธิดังกล่าวได้โดยการแจ้งบริษัท ผ่านช่องทางและวิธีการที่บริษัท กำหนด โดยบริษัท ขอสงวนสิทธิ์ในการพิจารณาและดำเนินการตามคำขอใช้สิทธิของท่านตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนด
การรักษาความมั่งคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัท จัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลทั้งมาตรการเชิงองค์กร (Organizational Measures) และมาตรการเชิงเทคนิค (Technical Measures) ตามหลักการรักษาความลับ (Confidentiality) การรักษาความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งานของข้อมูล (Availability) เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผย นอกจากนี้ บริษัท จะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control)
ทั้งนี้ บริษัท จะจำกัดการเข้าถึงข้อมูลส่วนบุคคลของท่าน โดยจะอนุญาตให้เฉพาะบุคคลที่มีความจำเป็นจะต้องเข้าถึงข้อมูลส่วนบุคคลนั้นเพื่อปฏิบัติหน้าที่ของตน ในกรณีที่บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลท่านจะต้องเป็นการประมวลผลตามคำสั่งของบริษัท ตามที่กำหนดในสัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลเท่านั้น
กรณีเกิดเหตุการละเมิดข้อมูลส่วนบุคคล
ในกรณีที่มีเหตุละเมิดข้อมูลส่วนบุคคลของท่านเกิดขึ้น บริษัท จะแจ้งให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุ ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของท่าน บริษัทฯ จะแจ้งถึงเหตุการณ์ละเมิดให้ท่านทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าผ่านช่องทางต่าง ๆ
การจัดการข้อมูลส่วนบุคคลบางกรณี
10.1 ลูกค้า และผู้ขายสินค้าหรือผู้ให้บริการ
กรณีที่ท่านเป็นลูกค้าหรือผู้ขายสินค้าหรือผู้ให้บริการแก่บริษัท บริษัท อาจขอให้ท่านแจ้งการแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน และสมบูรณ์
10.2 พนักงานของบริษัท
กรณีที่ท่านเป็นพนักงานของบริษัท ซึ่งดำเนินงานเกี่ยวข้องกับข้อมูลส่วนบุคคล บริษัท ขอให้ท่านดำเนินการดังต่อไปนี้
- ปฏิบัติตามและให้ความสำคัญต่อการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และนโยบายฉบับนี้อย่างเคร่งครัด ในกรณีที่พนักงานไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือนโยบายฉบับนี้ ถือเป็นความผิดต่อหน้าที่อย่างร้ายแรง ซึ่งอาจถูกลงโทษทางวินัยตามกระบวนการของบริษัท และอาจมีความผิดและรับโทษตามที่กฎหมายกำหนด
- เข้ารับการฝึกอบรมด้านการคุ้มครองข้อมูลส่วนบุคคลตามกำหนดการจัดอบรม และเมื่อได้รับแจ้งให้เข้ารับการอบรม โดยต้องให้ความสำคัญและให้ความร่วมมือในการเข้ารับการอบรมความรู้อย่างเคร่งครัด
- ไม่กระทำการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาอันเนื่องจากการปฏิบัติงานให้แก่บุคคลอื่น เว้นแต่กฎหมายกำหนดไว้เป็นอย่างอื่น
- รายงานกรณีพบเหตุการละเมิดข้อมูลส่วนบุคคลให้หัวหน้าหน่วยงานทราบเพื่อร่วมกันตรวจสอบข้อเท็จจริงของเหตุการณ์ดังกล่าว และแจ้งข้อมูลให้หน่วยงานกำกับดูแลทราบทันทีเมื่อพบเหตุการละเมิดข้อมูลส่วนบุคคล เพื่อแจ้งข้อมูลต่อสำนักงานฯ ต่อไป ภายในระยะเวลาที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
การแก้ไขเปลี่ยนแปลงนโยบาย
บริษัท อาจแก้ไขเปลี่ยนแปลงนโยบายนี้เป็นครั้งคราว โดยท่านสามารถทราบข้อกำหนดและเงื่อนไขนโยบายที่มีการแก้ไขเปลี่ยนแปลงนี้ได้ผ่านช่องทางการสื่อสารของบริษัท ตามที่บริษัท เห็นสมควร
รายละเอียดการติดต่อบริษัท
หากท่านมีข้อเสนอแนะหรือต้องการสอบถามข้อมูลเกี่ยวกับรายละเอียดการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน รวมถึงการขอใช้สิทธิตามกฎหมาย ท่านสามารถติดต่อได้ที่ช่องทางดังต่อไปนี้ dpo@srisawadcapital.co.th
นโยบายนี้ให้มีผลใช้บังคับตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป