นโยบายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
บริษัท สิริซอฟต์ จำกัด (มหาชน) (“บริษัท”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (รวมถึงฉบับแก้ไขเพิ่มเติม) (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) จึงได้จัดทำนโยบายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ เพื่อวางกรอบหลักการและแนวทางที่ใช้บังคับเป็นการทั่วไป ในการปฏิบัติงานที่สำคัญ โดยมีขอบเขตการบังคับใช้ ดังนี้
- นโยบายฉบับนี้ใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลทั้งหมดที่เกิดขึ้นตามขอบเขตและวัตถุประสงค์ ของบริษัท ซึ่งรวมถึงการประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการโดยบุคคลภายนอก หรือโดยอุปกรณ์ หรือระบบภายนอกตามขอบเขตและวัตถุประสงค์ของดังกล่าวของบริษัทด้วย โดยนโยบายฉบับนี้ จะไม่ ครอบคลุมถึงการประมวลผลข้อมูลส่วนบุคคลของบุคลากรของบริษัท ที่ดำเนินการเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้น อันไม่เกี่ยวข้องกับขอบเขตและวัตถุประสงค์ของบริษัท
- นอกเหนือจากนโยบายฉบับนี้ บริษัทอาจจัดทำระเบียบปฏิบัติงาน คำสั่ง ประกาศ แนวปฏิบัติ หรือคู่มือ ปฏิบัติงานภายในบริษัท (“ระเบียบปฏิบัติงานภายใน”) โดยมีเนื้อหาที่เป็นรายละเอียดขั้นตอน กระบวนการปฏิบัติงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อช่วยส่งเสริมการปฏิบัติตามนโยบายฉบับนี้
- บริษัทจะมีการทบทวน ปรับปรุง แก้ไข นโยบายฉบับนี้ เมื่อข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วน บุคคลมีการแก้ไข ปรับปรุง เปลี่ยนแปลงหรือเพิ่มเติม โดยบริษัทจะดำเนินการทบทวน ปรับปรุง แก้ไข ระเบียบปฏิบัติงานภายในให้มีสาระสำคัญที่เป็นปัจจุบันและสอดคล้องตามข้อกำหนดของกฎหมาย คุ้มครองข้อมูลส่วนบุคคลดังกล่าวด้วย
- คำจำกัดความ
- “การประมวลผลข้อมูลส่วนบุคคล” หมายถึง การดำเนินการใด ๆ หรือส่วนหนึ่งของการดำเนินการซึ่งได้กระทำต่อข้อมูลส่วนบุคคล ไม่ว่าโดยวิธีการอัตโนมัติ หรือไม่ก็ตาม
- “การละเมิดข้อมูลส่วนบุคคล” หมายถึง การสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผย ข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
- “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลส่วนบุคคลตามนิยามของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
- “ข้อมูลอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนและมีความเสี่ยงที่หากบุคคลอื่นได้ทราบข้อมูลนั้น อาจก่อให้เกิดการเลือกปฏิบัติอย่างไม่เป็นธรรมหรือมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลซึ่งจำเป็นต้องดำเนินการประมวลผลด้วยความระมัดระวังเป็นพิเศษ ได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูล สหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ และ ข้อมูลอื่น ๆ ตามที่คณะกรรมการคุ้มครองข้อมูลส่วน บุคคลประกาศกำหนด
- “เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาที่สามารถระบุตัวตนได้จากข้อมูลส่วน บุคคล (มิได้หมายถึง ผู้ที่เป็นเจ้าของข้อมูลในลักษณะทรัพยสิทธิหรือเป็นผู้ที่สร้างข้อมูลนั้นขึ้นมา)
- “สำนักงาน” หมายถึง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
- หน้าที่และความรับผิดชอบ
- คณะกรรมการบริษัท มีหน้าที่ในทางบริหารที่จะรับผิดชอบในการดำเนินการให้เป็นไปตามกฎหมาย คุ้มครองข้อมูลส่วนบุคคล โดยดำเนินการผ่านหน่วยงานกำกับดูแล รวมถึงมีหน้าที่พิจารณาอนุมัตินโยบาย และระเบียบปฏิบัติงานภายในที่มีรายละเอียด ขั้นตอน กระบวนการปฏิบัติงานในเรื่องใดเรื่องหนึ่งที่ เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท โดยเฉพาะ
- หน่วยงานกำกับดูแล มีหน้าที่กำกับดูแลให้บริษัท กรรมการ ผู้บริหาร พนักงาน และบุคลากรทุกคนใน บริษัท ปฏิบัติตามนโยบายฉบับนี้อย่างเคร่งครัด และจัดทำระเบียบปฏิบัติงานภายในร่วมกับหน่วยงาน ภายในบริษัทที่เกี่ยวข้อง เพื่อกำหนดรายละเอียด ขั้นตอน กระบวนการปฏิบัติในเรื่องใดเรื่องหนึ่งที่ เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท รวมทั้งให้คำปรึกษาด้านกฎเกณฑ์และการปฏิบัติงาน การอบรมความรู้ในการปฏิบัติงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้แก่พนักงาน บุคลากร และ หน่วยงานที่เกี่ยวข้องในบริษัท นอกจากนี้ หน่วยงานกำกับดูแลจะต้องจัดให้มีการบันทึกกิจกรรมการ ประมวลผลข้อมูลส่วนบุคคลที่สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลไว้ในบันทึกรายการกิจกรรม การประมวลผลข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานตรวจสอบได้
- หน่วยงานทุกหน่วยงานของบริษัทที่เกี่ยวข้องกับข้อมูลส่วนบุคคล มีหน้าที่ให้ความสำคัญและปฏิบัติตาม กฎหมายคุ้มครองข้อมูลส่วนบุคคลและนโยบายฉบับนี้อย่างเคร่งครัด โดยจะต้องจัดทำระเบียบปฏิบัติงาน ภายในร่วมกับหน่วยงานกำกับดูแลเพื่อใช้ในการกำกับดูแลพนักงาน และสื่อสารให้พนักงานในหน่วยงานมี ความรู้ความเข้าใจและสามารถปฏิบัติงานตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ แต่ละ หน่วยงานจะจัดให้มีระบบงานเทคโนโลยีสารสนเทศที่ใช้สนับสนุนกระบวนการปฏิบัติงานทางด้านการ คุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม เพียงพอ และสอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล นโยบายฉบับนี้ และระเบียบปฏิบัติงานภายใน รวมถึงจะต้องจัดให้มีสัญญาการประมวลผลข้อมูล ส่วนบุคคลในกรณีที่มีการว่าจ้างบุคคลภายนอกมาดำเนินการประมวลผลตามคำสั่งหรือในนามของบริษัทด้วย
- พนักงานทุกคนภายในหน่วยงานทุกหน่วยงานของบริษัท มีหน้าที่ให้ความสำคัญและปฏิบัติตามกฎหมาย คุ้มครองข้อมูลส่วนบุคคล นโยบายฉบับนี้ และระเบียบปฏิบัติงานภายในขององค์กรอย่างเคร่งครัด รวมถึง รายงานกรณีพบเหตุการณ์การละเมิดข้อมูลส่วนบุคคลให้หัวหน้าหน่วยงานรับทราบเพื่อร่วมกันตรวจสอบ ข้อเท็จจริงของเหตุการณ์ดังกล่าว และแจ้งข้อมูลให้หน่วยงานกำกับดูแลทราบทันทีเมื่อพบเหตุการณ์ การละเมิดข้อมูลส่วนบุคคล เพื่อแจ้งข้อมูลต่อสำนักงานตามระยะเวลาที่กำหนดในกฎหมายคุ้มครองข้อมูล ส่วนบุคคล
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ในกรณีที่บริษัทมีหน้าที่ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่จะต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) นั้น บริษัทจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดยบุคคล ดังกล่าวต้องมีความรู้ความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลและมีความเป็นอิสระในการปฏิบัติงาน และบริษัทจะต้องจัดให้มีเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วน บุคคลเพื่อการปฏิบัติหน้าที่ให้แก่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลด้วย เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะมีหน้าที่ในการกำหนดและตดิ ตามตรวจสอบการดำเนินการตามนโยบายฉบบั นี้ และระเบียบปฏิบัติงานภายใน เพื่อให้การประมวลผลข้อมูลส่วนบุคคลของบริษัทเป็นไปตามกฎหมายคุ้มครอง ข้อมูลส่วนบุคคล รวมถึงให้คำแนะนำและให้ความเห็นแก่หน่วยงานต่าง ๆ รวมทั้งพนักงานของบริษัท เกี่ยวกับการ ปฏิบัติตามนโยบายฉบับนี้และระเบียบปฏิบัติงานภายใน นอกจากนี้ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้อง ประสานงานและให้ความร่วมมือกับสำนักงาน ในกรณีที่มีปัญหาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของบริษัท และรายงานไปยังคณะผู้บริหารสูงสุดโดยตรงในกรณีที่มีปัญหาในการปฏิบัติหน้าที่ตามนโยบายฉบับนี้ โดยจะต้อง รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตามนโยบายฉบับนี้ด้วย- การประมวลผลข้อมูลส่วนบุคคล
บริษัทมีหน้าที่ต้องปฏิบัติตามหลักการในการประมวลผลข้อมูลส่วนบุคคล ดังต่อไปนี้- ดำเนินการประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์ของบริษัทที่ชัดเจนและชอบด้วย กฎหมายเท่านั้น โดยจะต้องสามารถอ้างอิงฐานทางกฎหมาย (Lawful Basis) อย่างน้อยฐานใดฐานหนึ่ง ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และหากเป็นการประมวลผลข้อมูลอ่อนไหว บริษัทจะต้องสามารถ อ้างอิงเงื่อนไขพิเศษในการประมวลผลอย่างน้อยเงื่อนไขใดเงื่อนไขหนึ่งตามกฎหมายคุ้มครองข้อมูล ส่วนบุคคลด้วย
- ดำเนินการแจ้งวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมูลส่วนบุคคลทราบให้ถูกต้อง ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด โดยผ่านช่องทางและวิธีการที่เหมาะสม และดำเนินการ ประมวลผลข้อมูลส่วนบุคคลภายใต้ขอบเขตวัตถุประสงค์ตามที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลได้ทราบ เท่านั้น ทั้งนี้ บริษัทอาจดำเนินการประมวลผลข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์เดิมตามที่ได้ แจ้งต่อเจ้าของข้อมูลส่วนบุคคลได้ต่อเมื่อสามารถอ้างอิงฐานทางกฎหมาย (Lawful Basis) ตามที่กฎหมาย คุ้มครองข้อมูลส่วนบุคคลกำหนด หรือกรณีจำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล บริษัทต้องแจ้งวัตถุประสงค์ใหม่และขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนดำเนินการ ประมวลผลข้อมูลส่วนบุคคลด้วย
- หากมีความจำเป็นในการขอความยินยอม บริษัทจะต้องกำหนดช่องทางให้เจ้าของข้อมูลส่วนบุคคลให้ ความยินยอมได้อย่างเหมาะสมและถอนความยินยอมได้โดยง่าย ไม่ว่ากรณีกระทำการผ่านช่องทาง อิเล็กทรอนิกส์หรือผ่านช่องอื่นใด รวมถึงต้องแจ้งผลกระทบอันอาจเกิดจากการแจ้งยกเลิกความยินยอมให้ เจ้าของข้อมูลส่วนบุคคลทราบด้วย
- ในกรณีที่มีการประมวลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ถูกจำกัดอำนาจ เช่น ผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ บริษัทจะต้องดำเนินการให้สอดคล้องและเป็นไปตาม ประมวลกฎหมายแพ่งและพาณิชย์และตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
- กำหนดกระบวนการปฏิบัติงานเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยัง ต่างประเทศหรือองค์กรต่างประเทศ โดยประเทศผู้รับข้อมูลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล ที่เพียงพอและเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ หรือเป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้สามารถดำเนินการได้ ทั้งนี้ กรณีการส่งหรือ โอนข้อมูลส่วนบุคคลเป็นการโอนกันภายในเครือกิจการหรือเครือธุรกิจเดียวกันที่ตั้งอยู่ในต่างประเทศ บริษัทอาจดำเนินการส่งหรือโอนข้อมูลตามที่นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทกำหนด โดยนโยบายดังกล่าวต้องได้รับการตรวจสอบและรับรองจากสำนักงานด้วย
- เก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลดังกล่าว จนกว่าเจ้าของข้อมูลส่วนบุคคลจะยุติความสัมพันธ์กับบริษัท ทั้งนี้ บริษัทจะเก็บรักษาข้อมูลส่วนบุคคล ต่อไปได้ตามระยะเวลาที่กฎหมายกำหนด หรือตามระยะเวลาที่นโยบายหรือระเบียบปฏิบัติงานภายในของ บริษัทกำหนดเพื่อวัตถุประสงค์อย่างใดอย่างหนึ่งเป็นการเฉพาะเท่านั้น โดยบริษัทจะต้องจัดให้มีการ ตรวจสอบการดำเนินการลบหรือทำลาย และดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลตามหลักเกณฑ์ว่า ด้วยการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อสิ้นสุดความจำเป็นตามวัตถุประสงค์ในการประมวลผลขอ้ มูล ส่วนบุคคลหรือสิ้นสุดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล หรือเข้าเหตุกรณีอื่นใดที่กฎหมาย คุ้มครองข้อมูลส่วนบุคคลกำหนด
- มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
- บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของการจัดเก็บ และรักษาข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผย ข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ซึ่งจะจัดให้สอดคล้องตามประกาศคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 และแนวทางการดำเนินการอื่นใดที่สำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด โดยมาตรการรักษาความมั่นคงปลอดภัยดังกล่าวจะต้องประกอบด้วยมาตรการเชิงองค์กร (organizational measures) มาตรการป้องกันด้านเทคนิค (technical measures) และมาตรการ ป้องกันทางกายภาพ (physical measures) ที่เหมาะสม โดยคำนึงถึงระดับความเสี่ยง และผลกระทบจาก เหตุการละเมิดข้อมูลส่วนบุคคล ตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล ส่วนบุคคลเป็นสำคัญ
- บริษัทต้องทบทวนมาตรการดังกล่าวเมื่อมีการปรับปรุง เปลี่ยนแปลง แก้ไข หลักการปฏิบัติงานภายใน บริษัท หรือเมื่อใดก็ตามที่ข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคลมีการประกาศใช้บังคับใหม่ หรือมีการปรับปรุง เปลี่ยนแปลง แก้ไข หรือ มีการประกาศใช้กฎหมายอื่นใดที่เกี่ยวข้อง เพื่อให้แน่ใจว่า บริษัทมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมและเพียงพอ
- บริษัทต้องจัดให้มีการบันทึกการจัดการข้อมูลส่วนบุคคลไม่ว่าจะอยู่ในรูปแบบเอกสารหรือรูปแบบ อิเล็กทรอนิกส์ โดยต้องมีรายละเอียดตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด เพื่อให้เจ้าของ ข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ เว้นแต่ในกรณีที่บริษัทได้รับยกเว้นการดำเนินการ ดังกล่าวตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
- มาตรการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
บริษัทจะต้องจัดให้มีช่องทางรับคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เพื่ออำนวยความสะดวกให้แก่เจ้าของ ข้อมูลส่วนบุคคล โดยต้องจัดให้มีหน่วยงานกลางทำหน้าที่รับผิดชอบในการพิจารณาคำร้องขอใช้สิทธิของเจ้าของ ข้อมูลส่วนบุคคลก่อนดำเนินการตามคำร้องขอ (Data Subject Rights Management) และกำหนดระยะเวลาการ ปฏิบัติตามคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลพร้อมการแจ้งผลการปฏิบัติตามคำขอใช้สิทธิให้เจ้าของ ข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า รวมถึงต้องจัดให้มีการบันทึกการจัดการข้อมูลส่วนบุคคล กรณีที่มีการปฏิเสธคำร้องขอ ใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เพื่อใช้เป็นหลักฐานเมื่อสำนักงาน หรือเจ้าของข้อมูลส่วนบุคคลร้องขอด้วย- การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
- ในกรณีที่พนักงานหรือหน่วยงานใดพบว่าระบบเทคโนโลยีสารสนเทศหรือกระบวนงานที่เกี่ยวข้อง ไม่สามารถทำงานได้ ให้พนักงานหรือหน่วยงานที่พบเหตุดังกล่าวแจ้งไปยังหน่วยงานที่เกี่ยวข้องทันทีหรือ ภายในระยะเวลาอื่นใดตามที่กำหนดในระเบียบปฏิบัติงานภายใน และให้หน่วยงานที่เกี่ยวข้อง ประสานงานกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (หากมี) หรือ หน่วยงานกำกับดูแล เพื่อดำเนินการ ตามที่เหมาะสม และหากเป็นกรณีเหตุอื่นใดที่เกี่ยวข้องกับการละเมิดข้อมูลส่วนบุคคล ให้พนักงานหรือ หน่วยงานที่พบเหตุแจ้งโดยตรงไปยังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (หากมี) หรือ หน่วยงานกำกับ ดูแลโดยเร็วที่สุดเพื่อดำเนินการตามที่เหมาะสม
- จากนั้นให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (หากมี) หรือ หน่วยงานกำกับดูแลดำเนินการตรวจสอบ เหตุการณ์ทั้งหลายที่เกี่ยวกับการละเมิดข้อมูลส่วนบุคคล เพื่อดำเนินการมาตรการที่เหมาะสมเพื่อบรรเทา ผลกระทบและป้องกันการละเมิดข้อมูลส่วนบุคคลที่จะเกิดขึ้นในอนาคต โดยจะต้องดำเนินการแจ้งการ ละเมิดข้อมูลส่วนบุคคลไปยังเจ้าของข้อมูลส่วนบุคคลและสำนักงานตามที่กฎหมายกำหนด ตาม หลักเกณฑ์ต่อไปนี้ ผลกระทบต่อสิทธิและเสรีภาพของ เจ้าของข้อมูล ส่วนบุคคล
การดำเนินการ
กรณีไม่มีความเสี่ยง
- บันทึกเหตุการณ์การละเมิดข้อมูลส่วนบุคคล
กรณีมีความเสี่ยง
- บันทึกเหตุการณ์การละเมิดข้อมูลส่วนบุคคล
- แจ้งสำนักงาน ภายใน 72 ชั่วโมง
กรณีมีความเสี่ยงสูง
- บันทึกเหตุการณ์การละเมิดข้อมูลส่วนบุคคล
- แจ้งสำนักงาน ภายใน 72 ชั่วโมง
- แจ้งเจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยเร็ว
นโยบายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ได้รับการอนุมัติจากที่ประชุมคณะกรรมการบริษัท ครั้งที่ 1/2566 เมื่อวันที่ 28 มีนาคม 2566 และให้มีผลใช้บังคับตั้งแต่วันที่ 29 มีนาคม 2566 เป็นต้นไป