ยินดีต้อนรับสู่ Jobshopthai เราพร้อมที่จะทำงานร่วมกับคุณเพื่อช่วยให้คุณพัฒนาสายงานอาชีพของคุณให้ก้าวหน้ายิ่งขึ้น Jobshopthai เป็นเครื่องหมายการค้าที่จดทะเบียนโดยกลุ่มบริษัทอเด็คโก้ประเทศไทย อ่านเพิ่มเติมได้ที่ ตามที่ทราบกันเป็นอย่างดีอยู่แล้วว่า เพื่อให้เราสามารถให้บริการคุณได้อย่างเต็มที่ เราจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลและนำข้อมูลเหล่านั้นไปใช้ที่ JOBshopthai เราให้ความสำคัญต่อความเป็นส่วนตัวของท่านเป็นอย่างยิ่ง เรามุ่งมั่นเรื่องการปกป้องและเคารพความเป็นส่วนตัวของคุณ นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้อธิบายถึงสิทธิความเป็นส่วนตัวของคุณในเรื่องข้อมูลส่วนบุคคลของคุณที่เรานำมาใช้ รวมทั้งขั้นตอนต่างๆที่เราดำเนินการเพื่อปกป้องคุ้มครองความเป็นส่วนตัวของคุณ เราทราบว่าเนี้อหาในเรื่องนี้ค่อนข้างมาก แต่กรุณาอ่านนโยบายนี้อย่างละเอียด
1 | หลักการทั่วไป |
2 | ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม ใช้ หรือเปิดเผย |
3 | หลักในการเก็บรวบรวมข้อมูลส่วนบุคคล |
4 | การตรวจสอบคุณภาพของข้อมูล |
5 | วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล |
6 | การใช้ข้อมูลอย่างจำกัด |
7 | การรักษาความมั่นคงปลอดภัยของข้อมูล |
8 | การเปิดเผยข้อมูลส่วนบุคคล |
9 | สิทธิของเจ้าของข้อมูลส่วนบุคคล |
10 | ระยะเวลาจัดเก็บ |
11 | ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล |
1. หลักการทั่วไป
1.1 ความทั่วไป |
กลุ่มบริษัทอเด็คโก้ประเทศไทย (“บริษัท”) ยึดมั่นในการดำเนินธุรกิจที่สอดคล้องตามบทบัญญัติของกฎหมายที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งการให้ความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลของผู้มีส่วนเกี่ยวข้องกับการดำเนินธุรกิจ จึงได้พัฒนาระบบการบริหารจัดการข้อมูลส่วนบุคคลด้วยระบบปฏิบัติงาน และระบบเทคโนโลยีสารสนเทศที่ทันสมัย และมีความมั่นคงปลอดภัยต่อการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคลที่มีประสิทธิภาพ โดยกำหนดให้เฉพาะเจ้าหน้าที่ของบริษัท หรือบุคคลที่เกี่ยวข้องเท่านั้นที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล นอกจากนี้ยังจัดให้มีระบบการตรวจสอบการเข้าถึงและการใช้ข้อมูลส่วนบุคคลอย่างเคร่งครัด ตลอดจนจัดให้มีการปรับปรุงและพัฒนาระบบการจัดเก็บและรักษาข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เพื่อทำให้ระบบมีการจัดเก็บข้อมูลส่วนบุคคลที่ถูกต้องเชื่อถือได้ ป้องกันไม่ให้มีการรั่วไหลของข้อมูลส่วนบุคคล การแก้ไขส่วนบุคคลโดยผู้ไม่มีหน้าที่เกี่ยวข้อง หรือการนำข้อมูลส่วนบุคคลไปใช้นอกเหนือจากวัตถุประสงค์ที่บริษัทได้แจ้งให้ผู้มีส่วนเกี่ยวข้องได้ทราบไว้แต่แรก |
เอกสารฉบับนี้ได้อธิบายถึงประเภทของข้อมูลส่วนบุคคล และวัตถุประสงค์ของการเก็บรวบรวมเพื่อนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย ระยะเวลาในการเก็บรวบรวมข้อมูล ประเภทของบุคคลหรือหน่วยงานซึ่งบริษัทอาจเปิดเผยข้อมูลส่วนบุคคลที่บริษัทรวบรวมไว้ สิทธิของเจ้าของข้อมูลส่วนบุคคล รวมถึงมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่สอดคล้องกับบทบัญญัติของกฎหมาย ตลอดจนข้อมูลอื่นที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคลของบริษัท |
เอกสารฉบับนี้ยังถือเป็นส่วนหนึ่งของข้อตกลงและเงื่อนไขการใช้งานบริการต่าง ๆ ของบริษัท ซี่งอาจแก้ไข ปรับปรุง เพิ่มเติม เปลี่ยนแปลง นโยบายนี้ โดยจะแจ้งให้ท่านทราบและขอความยินยอมจากท่านตามที่กฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลกำหนด |
1.2 คำจำกัดความ |
เพื่อให้เกิดความชัดเจนในการสื่อสารกับผู้มีส่วนเกี่ยวข้องในการดำเนินธุรกิจ และไม่ให้เกิดข้อกังวลเกี่ยวกับการตีความของคำบางคำในเอกสารฉบับนี้ บริษัทจึงได้จัดทำคำจำกัดความไว้ ดังนี้ |
“เรา” หรือ “บริษัท” หรือ “JOBshopthai” หมายถึง กลุ่มบริษัทอเด็คโก้ประเทศไทย ซึ่งประกอบไปด้วยบริษัทที่มีรายชื่อปรากฏตามเว็บไซต์หลักของบริษัทที่ https://adecco.co.th/th/contact มีการบังคับใช้อยู่ ณ เวลานั้น และให้หมายรวมถึงบุคคลคนเดียวหรือหลายคนที่ได้รับมอบหมายจากบริษัทให้กระทำการในนามของบริษัทด้วย |
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่เกี่ยวกับบุคคลธรรมดาซึ่งสามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม |
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลที่ระบุตามมาตรา 26 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 |
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล |
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล |
“ลูกค้า” หรือ “คู่ค้า” หมายถึง บุคคลหรือนิติบุคคล ซึ่งรวมถึงบุคคลคนเดียวหรือหลายคนซึ่งเป็นผู้มีอำนาจหรือได้รับมอบหมายให้กระทำการแทนนิติบุคคล เพื่อเข้าเป็นคู่สัญญาทางธุรกิจกับบริษัท ในฐานะลูกค้าหรือคู่ค้า ไม่ว่าจะเป็นไปเพื่อการขายสินค้า ให้บริการ รับบริการในธุรกิจที่เกี่ยวกับกับบริษัท |
“คนหางาน” หรือ “ผู้สมัครงาน” หมายถึง บุคคลผู้ให้ความสนใจให้บริษัทหางาน หรือได้สมัครงานกับบริษัท และให้รวมถึงผู้ที่เข้าเยี่ยมชมกิจกรรมหรืองานที่บริษัท ได้จัดให้มีขึ้นไม่ว่าจะเป็นการจัดกิจกรรมหรืองานในช่องทางออนไลน์ทุกชนิด หรือการจัดงานที่สถานที่จัดงาน และให้รวมถึงบุคคลผู้เข้าร่วมในการตอบคำถาม แบบสำรวจข้อมูล แบบสำรวจความพึงพอใจในการเข้าเยี่ยมชมเว็ปไซต์ สื่อออนไลน์ หรือการจัดงานของบริษัท |
“พนักงาน” หมายถึง บุคคลที่ทำงานให้แก่บริษัทตามสัญญาจ้างงานที่ทำไว้กับบริษัท รวมถึงบุคคลที่ทำสัญญาจ้างงานกับบริษัทเพื่อทำงานให้แก่ลูกค้าของบริษัทด้วย |
“ผู้เข้าชมเว็บไซต์” หมายถึง บุคคลผู้ใช้งานอินเทอร์เน็ตเพื่อเข้าสู่เว็บไซต์ของบริษัท |
1.3 ความเกี่ยวข้อง |
บริษัทจะพิจารณาอย่างรอบคอบในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของท่าน ภายใต้วัตถุประสงค์แห่งการดำเนินธุรกิจโดยชอบด้วยกฎหมายด้วยเหตุดังต่อไปนี้ |
(1) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาที่ท่านเป็นคู่สัญญาทางธุรกิจกับบริษัท |
2. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม ใช้ หรือเปิดเผย
นโยบายฉบับนี้จะใช้กับข้อมูลส่วนบุคคลที่บริษัทอาจเก็บรวบรวม ใช้ เปิดเผย รวมถึงกรณีที่ท่านได้ให้ความยินยอมไว้กับบริษัท ดังนี้
2.1 ข้อมูลส่วนบุคคลทั่วไป ได้แก่ |
|
|
|
|
|
|
|
|
|
|
|
2.2 ข้อมูลส่วนบุคคลที่มีความอ่อนไหว |
ได้แก่ ข้อมูลเกี่ยวกับเชื้อชาติ, ศาสนา, หมู่เลือด, ผลการตรวจสุขภาพ, ประวัติการรักษาพยาบาล, ประวัติการประสบอันตรายทั้งเนื่องจากการทำงานหรือไม่เกี่ยวข้องกับการทำงานแต่ได้นำมาแสดงกับบริษัท, ผลการวินิจฉัยโรค, ข้อมูลสุขภาพ, ข้อมูลความพิการทางร่างกาย, ความคิดเห็นทางการเมือง สังคม วัฒนธรรม, ข้อมูลสหภาพแรงงาน, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ผลการประเมินการทำงาน, การแสดงความคิดเห็นในสื่อสังคมออนไลน์, การแสดงความคิดเห็นเกี่ยวกับบริษัทและบริการของบริษัท, ภาพสแกนใบหน้า ดวงตา หรือลายนิ้วมือ, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ, รวมถึงข้อมูลอื่นใดที่อาจกระทบกับเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด เป็นต้น |
3. หลักในการเก็บรวบรวมข้อมูลส่วนบุคคล
3.1 ข้อมูลส่วนบุคคลทั่วไป |
แม้ว่ากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลจะให้สิทธิ์บริษัทสามารถเก็บรวบรวมข้อมูลส่วนบุคคลของท่านในฐานะที่เป็นคู่สัญญาโดยตรง หรือเป็นผู้ที่ต้องกระทำการแทนนิติบุคคล หรือผู้รับมอบอำนาจจากผู้มีอำนาจในการเข้าทำนิติกรรมเป็นคู่สัญญาได้โดยไม่ต้องขอความยินยอมตามหลักการขอความยินยอมของกฎหมายก็ตาม บริษัทก็ยังคงรักษาไว้ซึ่งการมีส่วนร่วมโดยจะจัดให้ท่านได้รับทราบโดยชัดแจ้งว่าคู่สัญญาจะต้องให้ข้อมูลส่วนบุคคลเฉพาะที่จำเป็นในการเข้าเป็นสัญญาในฐานะคู่สัญญาที่บริษัท และท่านต้องปฏิบัติตามกฎหมายว่าด้วยเรื่องของนิติกรรมหรือสัญญานั้น ๆ นอกเหนือจากที่ได้กำหนดไว้แล้ว บริษัทอาจเก็บรวบรวมข้อมูลได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้ |
(1) การเก็บรวบรวมที่มีวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการป้องกันที่เหมาะสมเพื่อคุ้มครองสิทธิ และเสรีภาพของเจ้าของข้อมูลส่วนบุคคล โดยปฏิบัติตามหลักเกณฑ์ที่กฎหมายกำหนด |
3.2 ข้อมูลส่วนบุคคลที่มีความอ่อนไหว |
บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวโดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ดังนี้ |
3.3 แหล่งที่มาของข้อมูลส่วนบุคคล |
บริษัทยึดมั่นตามบทบัญญัติของกฎหมาย โดยจะเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น เว้นแต่กรณีจำเป็นที่เจ้าของข้อมูลส่วนบุคคลไม่อาจให้หรือไม่ได้เป็นผู้ที่เก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวไว้ บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น ทั้งนี้จะเป็นไปเฉพาะแต่กรณีที่บริษัทได้รับความยินยอมเป็นลายลักษณ์อักษรจากเจ้าของข้อมูลส่วนบุคคลแล้วท่านั้น โดยทั่วไปกรณีที่บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรงและจากแหล่งอื่น ได้แก่ |
3.3.1 คนหางาน ผู้สมัครงาน หรือพนักงาน |
(1) ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสุขภาพหรือโรคประจำตัวของผู้สมัครงานหรือพนักงานที่บริษัท ลูกค้าของบริษัท หรือว่าที่นายจ้าง กำหนดให้ผู้สมัครงานหรือพนักงาน ต้องทำการตรวจสุขภาพของตนเองก่อนเข้าทำงาน โดยให้สถานพยาบาลที่ทำการตรวจสุขภาพส่งผลการตรวจให้แก่บริษัท รวมถึงผลการตรวจสุขภาพประจำปีของพนักงานด้วย |
(2) ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับประวัติการถูกดำเนินคดีทางกฎหมาย หรือประวัติอาชญากรรม โดยบริษัทอาจกำหนดให้คนหางาน ผู้สมัครงาน หรือผู้ที่จะเข้าทำงานรายหนึ่งรายใดหรือตำแหน่งหนึ่งตำแหน่งใดทำการตรวจสอบประวัติอาชญากรรม หรือยินยอมให้บริษัททำการตรวจประวัติอาชญากรรมแทน และยินยอมให้บริษัทเก็บรวบรวม ใช้ หรือเปิดเผยได้ตามระยะเวลาที่บริษัทกำหนด |
(3) ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับประวัติการทำงานก่อนหน้าที่จะทำงานกับบริษัท หรือบุคคลอ้างอิง โดยได้กำหนดให้เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมโดยชัดแจ้งก่อนทุกครั้ง โดยบริษัทจะแจ้งการให้ความยินยอมให้แก่บุคคลภายนอกนั้น ๆ ทราบล่วงหน้าก่อนการส่งข้อมูลดังกล่าวมายังบริษัท |
3.3.2 ลูกค้า หรือ คู่ค้า |
(1) กรณีลูกค้า หรือ คู่ค้า ที่เป็นบุคคลธรรมดาหรือนิติบุคคล (ให้รวมถึงบุคคลคนเดียวหรือหลายคนที่ได้รับมอบหมายให้เป็นผู้กระทำการแทนนิติบุคคล) หรือบุคคลที่เป็นบริวารหรือลูกจ้างของลูกค้าหรือคู่ค้า ที่ได้ยื่นคำขอหรือตกลงเข้าเป็นคู่สัญญากับบริษัท ที่ให้ความสนใจในบริการของบริษัท รวมถึงการติดต่อเพื่อบริการหลังการขาย การรีวิว การแสดงความคิดเห็น ความพึงพอใจในการใช้บริการ การติดต่อระหว่างเจ้าของข้อมูลส่วนบุคคลกับบริษัท ไม่ว่าจะเป็นทางโทรศัพท์ อีเมล แอปพลิเคชันของบริษัท แอปพลิเคชันที่ใช้ในการติดต่อสื่อสาร การบริการฝึกอบรม การจัดกิจกรรมเพื่อชิงรางวัล หรือการติดต่อโดยวิธีการอื่นใด บริษัทอาจดำเนินการบันทึกข้อมูลการติดต่อสื่อสารเหล่านั้นเพื่อวัตถุประสงค์ต่าง ๆ เช่น เพื่อใช้เป็นหลักฐาน เพื่อพัฒนาและปรับปรุงบริการ เพื่อติดตามความพึงพอใจของเจ้าของข้อมูลส่วนบุคคล เพื่อการฝึกอบรม เพื่อประเมินผลการทดสอบบุคลากร เพื่อวิเคราะห์ข้อมูล รวมถึงเพื่อพัฒนาระบบของบริษัท |
(2) กรณีที่เป็นวิทยากรหรือผู้รับเชิญให้บรรยาย/ให้คำแนะนำเกี่ยวกับกระบวนการฝึกอบรม การสัมมนา หรือการประชุม บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นประวัติส่วนตัว ทั้งการศึกษา ประสบการณ์การทำงาน ความสามารถพิเศษ และภาพถ่ายขณะดำเนินกิจกรรม |
4. การตรวจสอบคุณภาพของข้อมูล
ก่อนหรือขณะที่บริษัททำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน บริษัทจะมีกระบวนการในการบริหารจัดการ วิเคราะห์ข้อมูลส่วนบุคคลต่าง ๆ ด้วยหลักการ ความถูกต้อง ความสมบูรณ์ ความพร้อมต่อการใช้งาน ความเที่ยงตรง ความเป็นปัจจุบัน ความเป็นเอกลักษณ์ และความแม่นยำ |
ทั้งนี้ กระบวนการดังกล่าวข้างต้น บริษัทได้จัดให้มีการวิเคราะห์และวางแผนเพื่อให้มีการเก็บรวบรวมข้อมูลเฉพาะที่มีความเป็นเอกลักษณ์และเที่ยงตรงที่เหมาะสมกับกระบวนการต่าง ๆ เพื่อการนำไปใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านให้เกิดประโยชน์สูงสุด การตรวจสอบถึงความถูกต้อง ความแม่นตรงของข้อมูลที่ได้รับก่อนที่จะมีการเก็บรวบรวม ไม่ว่าการบันทึกรายการข้อมูลเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ เพื่อให้มีความครบถ้วน ถูกต้อง รวมทั้งจัดให้มีการตรวจสอบความถูกต้องขอข้อมูลจากแหล่งข้อมูลที่เชื่อถือได้หรือตามที่กฎหมายกำหนดให้เป็นหน่วยงานที่มีอำนาจหน้าที่ในการจัดการเกี่ยวกับข้อมูลส่วนบุคคลนั้น ๆ รวมถึงการจัดการเพื่อการปกป้องข้อมูลส่วนบุคคล การรักษาความปลอดภัยและความมั่นคงของข้อมูล เพื่อเป็นป้องกันไม่ให้เป็นข้อเรียกร้องทั้งในเชิงกฎหมาย และเชิงพาณิชย์ในอนาคต |
5. วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
บริษัทกำหนดวัตถุประสงค์อันจำเป็นของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย เพื่อให้บรรลุวัตถุประสงค์ร่วมกันกับการให้บริการและสิทธิประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล โดยแยกตามประเภทของเจ้าของข้อมูลส่วนบุคคลที่มีส่วนเกี่ยวข้องกับการดำเนินธุรกิจของบริษัท ดังนี้ |
5.1 ผู้ถือหุ้น กรรมการบริหาร และกรรมการผู้มีอำนาจกระทำการในนามบริษัท |
บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในฐานะที่เป็นผู้ถือหุ้น กรรมการบริหาร ผู้มีอำนาจหรือผู้ได้รับมอบหมายให้มีอำนาจ หน้าที่รับผิดชอบเพื่อกระทำการในนามบริษัท เพื่อการลงนามผูกพันในสัญญาธุรกิจ แบบเอกสารตามที่หน่วยงานราชการหรือสถาบันการเงินกำหนด การอนุมัติการดำเนินการต่าง ๆ การมอบอำนาจในการดำเนินการทางธุรกิจ/ทางกฎหมาย/ทางธุรกรรมธนาคาร/การติดต่อหน่วยงานราชการ การดำเนินการทั่วไปในการเชิญประชุม แจ้งผลของการประชุม การจัดการเงินปันผล รายงานผลการดำเนินการของบริษัทตามระเบียบหรือตามที่กฎหมายกำหนด รวมถึงเพื่อการบริจาคหรือกิจกรรมอันเป็นสาธารณะกุศล |
5.2 คนหางาน ผู้สมัครงาน พนักงาน และบุคคลในครอบครัวของพนักงาน |
บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในขอบเขตหรือตามคำขอให้หางานเพื่อการค้นหางานที่เหมาะสมกับประสบการณ์และทักษะในการทำงานของคนหางาน การสรรหาและคัดเลือกบุคคลเข้าทำงานของผู้สมัครงาน การเข้าเป็นคู่สัญญาจ้างแรงงานของพนักงาน การยืนยันตัวตนเพื่อเข้าทำงานหรือเข้าใช้งานในระบบสารสนเทศภายใน การคำนวณและจ่ายค่าจ้าง ผลตอบแทน การประเมินผลการทำงาน การปรับค่าจ้าง การเก็บประวัติความประพฤติทางวินัยรวมถึงบทลงโทษ การฝึกอบรม สัมมนา กิจกรรมสันทนาการ การศึกษาดูงาน การท่องเที่ยว และการบริหารงานบุคคล การตรวจประวัติอาชญากรรม การเลื่อนและโยกย้ายตำแหน่งงาน การเบิกจ่ายเงินตามระเบียบการทำงาน การประสานงานแก่ผู้บริหารเรื่องการนัดพบแพทย์ การสำรองตั๋วโดยสาร การขอวีซ่า จองห้องพัก สถานที่บริการต่าง ๆ การตรวจสุขภาพทั้งตามที่กฎหมายกำหนดและที่บริษัทจัดให้ และรวมถึงการจัดสวัสดิการ สิทธิประโยชน์แก่พนักงานและครอบครัว การส่งข้อมูลให้หน่วยงานภายนอกอันเป็นการปฏิบัติตามกฎหมายที่เกี่ยวข้องกับสรรพากร ประกันสังคม การพัฒนาฝีมือแรงงาน กรมบังคับคดี และการบริหารสำนักงาน การติดต่อประสานงานภายใน การเบิกค่าใช้จ่าย การถือครองทรัพย์สิน การจัดการด้านธุรการอาคารสถานที่ การจัดการจดหมายและไปรษณีย์ การบันทึกการเข้า-ออกพื้นที่ทำงาน การตรวจสอบและตรวจประเมินทั้งจากหน่วยงานภายในและภายนอก รวมถึงการส่ง โอน หรือเปิดเผยให้แก่ผู้ให้บริการจัดส่งเพื่อการประสานงาน/ติดต่อลูกค้า การศึกษาและวิจัยเชิงวิเคราะห์เกี่ยวกับสถิติของการบรรจุบุคคลเข้าทำงาน การแจ้งข่าวสารหรือตำแหน่งงานที่เปิดรับสมัครในอนาคต รวมทั้งกิจกรรมที่เกี่ยวข้องกับการประชาสัมพันธ์หรือการสื่อสารทางการตลาดของบริษัท ผ่านทางอีเมล โทรศัพท์ จดหมาย และ/หรือวิธีการสื่อสารอื่นๆ |
สำหรับบุคคลในครอบครัวของพนักงาน บริษัทจะพิจารณาเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นเพื่อประโยชน์กรณีที่ต้องปฏิบัติตามกฎหมายหรือเพื่อการดำเนินอื่นใดอันเป็นประโยชน์ของพนักงานหรือบุคคลในครอบครัวเป็นสำคัญ ทั้งนี้ บริษัทจะจัดให้บุคคลในครอบครัวที่จะถูกเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ให้ความยินยอมไว้แก่บริษัท โดยผ่านการดำเนินการของพนักงาน อย่างไรก็ตาม กรณีที่พนักงานไม่ได้ดำเนินการให้สอดคล้องอย่างเหมาะสมเพื่อให้บริษัทปฏิบัติสอดคล้องต่อกฎหมาย พนักงานอาจได้รับผลกระทบไม่ว่าจะเป็นกรณีที่พนักงานไม่อาจใช้สิทธิประโยชน์หรือสวัสดิการที่สามารถได้รับจากการให้บริการโดยบริษัท ทั้งนี้ บริษัทสงวนสิทธิไม่จัด มอบ หรือจ่ายสิทธิประโยชน์หรือสวัสดิการ หากพนักงานหรือบุคคลในครอบครัวของพนักงานยังไม่ได้ดำเนินการให้สอดคล้องกับบทบัญญัติของกฎหมาย |
5.3 ลูกค้า และคู่ค้า |
บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของ ลูกค้า และคู่ค้า ในขอบเขตของการขึ้นทะเบียนลูกค้าใหม่ คู่ค้าใหม่ เปิดบัญชีเจ้าหน้า หรือลูกหนี้การค้า การเสนอบริการหรือเสนอราคา การเจรจาต่อรอง การทำสัญญา การจัดกิจกรรมส่งเสริมการขาย การประชุม อบรม สัมมนาทั้งในและต่างประเทศ การรับรองทางธุรกิจ การหาคนหางาน การฝึกอบรม การทดสอบความสามารถด้านเทคนิค การโฆษณา การผลิตสื่อสิ่งพิมพ์ การจ่ายรางวัลตอบแทนการขาย การจัดซื้อจัดจ้าง การประเมิน การว่าจ้างตามสัญญาบริการต่าง ๆ การจัดส่งเอกสารและสินค้า |
กรณีเป็นผู้ตรวจสอบ/ตรวจประเมินจากหน่วยงานภายนอก บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไว้เฉพาะเท่าที่ใช้ในการยืนยันตัวตน และการขึ้นทะเบียนผู้สอบบัญชีรับอนุญาต |
5.4 ผู้เข้าชมเว็บไซต์ |
บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงข้อมูลใดๆ เกี่ยวกับการใช้สินค้าและบริการของผู้เข้าชมเว็บไซต์ เพื่อการวิเคราะห์หรือคาดการณ์เกี่ยวกับความชื่นชอบหรือพฤติกรรม การวิจัย/พัฒนา/ปรับปรุงเว็บไซต์และระบบการให้บริการของบริษัท ทั้งที่มีอยู่ในปัจจุบันหรือที่อาจมีขึ้นในอนาคต รวมถึงการวางแผนการตลาด เพื่อให้บริษัทสามารถนำเสนอสินค้าและบริการ สิทธิประโยชน์ รายการส่งเสริมการขายและข้อเสนอต่างๆ ของบริษัทที่เหมาะสมกับผู้เข้าชมเว็บไซต์ |
6. การใช้ข้อมูลอย่างจำกัด
บริษัทจะพิจารณาอย่างรอบคอบในการใช้ข้อมูลส่วนบุคคลของท่านอย่างจำกัดภายใต้ขอบเขตของวัตถุประสงค์ตามที่ได้แจ้งไว้ก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลนั้น ๆ |
นอกเหนือจากการคำนึงถึงความเป็นส่วนตัวและสิทธิขั้นพื้นฐานของท่านในฐานะเจ้าของข้อมูลส่วนบุคคล ประกอบกับบทบัญญัติ กฎ ระเบียบ ข้อบังคับ ข้อกำหนดของทางราชการที่เกี่ยวข้องแล้ว บริษัทจะพิจารณาใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์หรือตอบสนองท่านในฐานะลูกค้าหรือผู้รับบริการตามขอบเขตแห่งวัตถุประสงค์อย่างจำกัด เพื่อติดต่อ เพื่อตอบคำถามจากคนหางาน คนสมัครงาน ลูกค้า หรือคู่ค้าในเรื่องที่เกี่ยวข้องกับการเป็นคู่สัญญา ผู้รับบริการกับบริษัท การส่งมอบสินค้าหรือบริการ การติดต่อที่เกี่ยวข้องกับการปฏิบัติต่อกันในฐานะคู่สัญญา หรือการจัดการและการปฏิบัติตามสัญญาซึ่งท่านอยู่ในฐานะคู่สัญญากับบริษัท การวิจัยตลาดและการพัฒนาผลิตภัณฑ์และบริการใหม่ การแนะนำสินค้าหรือบริการ การสำรวจความพึงพอใจในการใช้บริการ การแนะนำข้อเสนอทางการตลาด การสื่อสารทางการตลาด วัตถุประสงค์อื่นที่เกี่ยวข้องกับข้องต่าง ๆ ข้างต้น หากต้องได้มาหรือใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากที่ได้ระบุไว้ข้างต้น บริษัทจะขอความยินยอมก่อนการเก็บรวบรวม ใช้ข้อมูลส่วนบุคคลดังกล่าวตามที่กฎหมายบัญญัติไว้อย่างเคร่งครัด |
อย่างไรก็ตาม บรรดาข้อมูลส่วนบุคคลของท่านที่บริษัทได้ทำการเก็บรวบรวม ใช้ รวมถึงการเปิดเผยมาไว้ก่อนที่กฎหมายคุ้มครองส่วนบุคคลใช้บังคับ บริษัทจะทำการเก็บรวบรวม และใช้ตามวัตถุประสงค์เดิมที่บริษัทเคยแจ้งและขอความยินยอมตามวิถีทางธุรกิจที่บริษัทได้ปฏิบัติต่อท่านก่อนที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับต่อไปตามระยะเวลาที่ได้กำหนดไว้ในเอกสารฉบับนี้ เว้นแต่เป็นกรณีที่กำหนดไว้เป็นการเฉพาะในเรื่องระยะเวลา แต่หากบริษัทจะทำการเปิดเผยข้อมูลส่วนบุคคล หรือใช้ข้อมูลส่วนบุคคลนอกเหนือจากที่เคยแจ้งวัตถุประสงค์ไปก่อนหน้านี้แล้ว บริษัทจะยึดมั่นในการปฏิบัติตามกฎหมายโดยเคร่งครัด โดยคำนึงถึงความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลเป็นสำคัญ |
7. การรักษาความมั่นคงปลอดภัยของข้อมูล
7.1 การรักษาความมั่นคงปลอดภัยของข้อมูลที่จัดเก็บในระบบเอกสารปกติ |
บริษัทได้กำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่จัดเก็บเป็นเอกสาร (Hard Copy) ไว้เป็นการเฉพาะด้วยการเก็บรวบรวมไว้ตามนโยบายและแนวทางปฏิบัติในการควบคุมการปฏิบัติงานและรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ (Information Security Policy) |
7.2 การรักษาความมั่นคงปลอดภัยของข้อมูลที่จัดเก็บในระบบอิเล็กทรอนิกส์ |
บริษัทได้กำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลโดยคำนึงถึงสิทธิขั้นพื้นฐานของข้อมูลส่วนบุคคลของท่าน ด้วยการออกแบบระบบสารสนเทศและระบบเครือข่ายและคอมพิวเตอร์ให้มีความมั่นคงปลอดภัยอย่างเหมาะสมที่สุด เพื่อสนับสนุนการดำเนินงานของบริษัทได้อย่างต่อเนื่อง และสอดคล้องกับบทบัญญัติของกฎหมายที่เกี่ยวข้อง รวมทั้งเป็นการป้องกันภัยคุกคามที่อาจก่อให้เกิดความเสียหายแก่บริษัท |
(1) จัดให้มีการกำกับดูแลและการกำหนดนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศเป็นลายลักษณ์อักษร และบริษัทต้องทำการสื่อสารนโยบายดังกล่าวเพื่อสร้างความเข้าใจและสามารถปฏิบัติตามได้อย่างถูกต้อง โดยเฉพาะอย่างยิ่งระหว่างหน่วยงานด้านเทคโนโลยีสารสนเทศและหน่วยงานด้านอื่นภายในบริษัท เพื่อให้มีการประสานงานและสามารถดำเนินธุรกิจได้ตามเป้าหมายที่ตั้งไว้ |
(2) จัดให้มีการทบทวนนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีผลกระทบต่อการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศของบริษัท |
(3) กำหนดผู้ที่มีหน้าที่และความรับผิดชอบในการบริหารและจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศไว้เป็นการเฉพาะ เพื่อให้มั่นใจว่าบริษัทสามารถจัดหาวิธีการหรือแนวทางด้านเทคโนโลยีสารสนเทศเพื่อลดความเสี่ยงหรือจัดการความเสี่ยงที่มีอยู่ แล้วนำเสนอให้กับผู้บริหารเพื่อพิจารณาในการจัดการความเสี่ยงด้านระบบเทคโนโลยีสารสนเทศ |
(4) ได้ระบุความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศเพื่อครอบคลุมความเสี่ยงสำคัญ เช่น ความเสี่ยงจากบุคลากร จาก Software และข้อมูลจากระบบเครือข่ายและอินเตอร์เน็ต จาก Hardware และอุปกรณ์คอมพิวเตอร์ จากการเงิน จากอุทกภัย วาตภัย อัคคีภัย แผ่นดินไหว อาคารพังถล่ม การโจรกรรม และ จากกระแสไฟฟ้าขัดข้อง |
(5) กำหนดวิธีการในการบริหารจัดการความเสี่ยงให้อยู่ในระดับที่บริษัทยอมรับได้ จัดทำตารางลักษณะและรายละเอียดของความความเสี่ยง โดยมีหัวเรื่อง ชื่อความเสี่ยง ประเภทความเสี่ยง ลักษณะความเสี่ยง ปัจจัยความเสี่ยง และผลกระทบ เป็นต้น กำหนดระดับโอกาสการเกิดเหตุการณ์และระดับความรุนแรงของผลกระทบความเสี่ยง |
(6) กำหนดตัวชี้วัดระดับความเสี่ยงด้านเทคโนโลยีสารสนเทศ รวมถึงจัดให้มีการติดตามและรายงานผลตัวชี้วัดต่อผู้ที่มีหน้าที่รับผิดชอบ เพื่อให้สามารถบริหารและจัดการความเสี่ยงได้อย่างเหมาะสมและทันต่อเหตุการณ์ |
(7) ห้ามบุคลากรของบริษัทใช้เครือข่ายคอมพิวเตอร์ เพื่อกระทำการอันผิดกฎหมายและขัดต่อศีลธรรมอันดีของสังคม เช่น การจัดทำเว็บไซต์เพื่อดำเนินการค้าขาย หรือเผยแพร่สิ่งที่ผิดกฎหมาย หรือขัดต่อศีลธรรมอันดี เป็นต้น |
(8) ไม่อนุญาตให้ใช้เครือข่ายคอมพิวเตอร์ หรือเครื่องคอมพิวเตอร์ ด้วยชื่อบัญชีผู้ใช้ของผู้อื่น ทั้งที่ได้รับอนุญาต และไม่ได้รับอนุญาตจากเจ้าของชื่อบัญชีผู้ใช้ |
(9) ห้ามเข้าใช้ระบบคอมพิวเตอร์และข้อมูลที่มีการป้องกันการเข้าถึงของผู้อื่น เพื่อแก้ไข ลบ เพิ่มเติม หรือคัดลอก |
(10) ห้ามเผยแพร่ข้อมูลของผู้อื่น หรือของหน่วยงาน โดยไม่ได้รับอนุญาตจากผู้เป็นเจ้าของข้อมูลนั้น ๆ |
(11) ห้ามผู้ใดก่อกวน ขัดขวาง หรือทำลายให้ทรัพยากรและเครือข่ายคอมพิวเตอร์ของบริษัทเกิดความเสียหาย เช่น การส่งไวรัสคอมพิวเตอร์ การป้อนโปรแกรมที่ทำให้เครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่ายปฏิเสธการทำงาน เป็นต้น |
(12) ห้ามผู้ใดลักลอบดักรับข้อมูลในเครือข่ายคอมพิวเตอร์ของบริษัท และของผู้อื่นที่อยู่ระหว่างการรับและส่งในเครือข่ายคอมพิวเตอร์ |
(13) ก่อนการใช้งานสื่อบันทึกพกพาต่าง ๆ หรือเปิดไฟล์ที่แนบมากับจดหมายอิเล็กทรอนิกส์ หรือไฟล์ที่ดาวน์โหลดมาจากอินเทอร์เน็ต ผู้ใช้งานต้องมีการตรวจสอบเพื่อหาไวรัสโดยโปรแกรมป้องกันไวรัสก่อนทุกครั้ง |
(14) มอบหมายหน้าที่ให้กับผู้ใช้งานในฝ่ายเทคโนโลยี รับผิดชอบการดูแลระบบสารสนเทศที่บริษัทใช้งานให้มีความมั่นคงปลอดภัยของระบบสารสนเทศ และควบคุมการปฏิบัติงาน เพื่อให้คงไว้ซึ่งนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศของบริษัท |
(15) พนักงานของบริษัททุกคนต้องรับผิดชอบในการปฏิบัติตามนโยบายและแนวปฏิบัติของบริษัท ในการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของบริษัท รวมทั้งจะต้องไม่กระทำการละเมิดต่อกฎหมายที่เกี่ยวข้องกับการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ |
(16) ไม่อนุญาตให้ผู้ใช้งานติดตั้ง แก้ไข เปลี่ยนแปลงโปรแกรมในเครื่องคอมพิวเตอร์ของบริษัท เว้นแต่ได้รับคำปรึกษาหรือคำแนะนำจากผู้ดูแลระบบ หรือได้รับอนุญาตจากผู้มีอำนาจสูงสุดของหน่วยงาน |
(17) กำหนดเส้นทางการเชื่อมต่อระบบเครือข่ายเพื่อการเข้าใช้งานระบบอินเทอร์เน็ต โดยต้องผ่านระบบรักษาความปลอดภัย ได้แก่ Firewall โดยเครื่องคอมพิวเตอร์ของบริษัทก่อนทำการเชื่อมต่อระบบเครือข่าย ต้องมีการติดตั้งโปรแกรมป้องกันไวรัสและทำการอุดช่องโหว่ของระบบปฏิบัติการก่อน และภายหลังจากใช้งานระบบอินเทอร์เน็ตเสร็จแล้ว ให้ผู้ใช้งานทำการปิดเว็บบราวเซอร์เพื่อป้องกันการเข้าใช้งานโดยบุคคลอื่น |
(18) ผู้ใช้งานต้องเข้าถึงแหล่งข้อมูลตามสิทธิ์ที่ได้รับตามหน้าที่ความรับผิดชอบเพื่อประสิทธิภาพของระบบเครือข่ายและความปลอดภัยของบริษัท โดยห้ามผู้ใช้งานเปิดเผยข้อมูลสำคัญที่เป็นความลับของบริษัท ยกเว้นเป็นไปตามหลักเกณฑ์การเปิดเผยอย่างเป็นทางการของบริษัท |
(19) ผู้ใช้งานจะต้องใช้ระบบอินเทอร์เน็ต ในลักษณะที่ไม่เป็นการละเมิดของบุคคลอื่น ๆ และจะต้องไม่ก่อให้เกิดความเสียหายขึ้นต่อบริษัท รวมทั้งจะต้องไม่กระทำการใดอันเข้าข่ายความผิดตามพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ หรือกฎหมายที่เกี่ยวข้องโดยเด็ดขาด ทั้งนี้ การใช้ระบบอินเทอร์เน็ตเพื่อการปฏิบัติงานของบริษัทในทุกกรณี ผู้ใช้งานจะต้องปฏิบัติตามขั้นตอนการปฏิบัติที่บริษัทกำหนดไว้อย่างเคร่งครัด |
(20) จัดลำดับชั้นข้อมูลที่เป็นความลับ มีการแบ่งประเภทของข้อมูลตามภารกิจและการจัดลำดับความสำคัญของข้อมูล กำหนดวิธีบริหารจัดการกับข้อมูลแต่ละประเภท รวมถึงกำหนดวิธีปฏิบัติกับข้อมูลลับหรือข้อมูลสำคัญก่อนการยกเลิกหรือการนำกลับมาใช้ใหม่ โดยการรับส่งข้อมูลสำคัญผ่านระบบเครือข่ายสาธารณะ ต้องได้รับการเข้ารหัส ที่เป็นมาตรฐานสากล เช่น การใช้ Secure Socket Layer การใช้ Virtual Private Network (VPN) เป็นต้น |
(21) มีมาตรการควบคุมความถูกต้องของข้อมูลที่จัดเก็บ นำเข้า ประมวลผล และแสดงผล ในกรณีที่มีการจัดเก็บข้อมูลเดียวกันไว้หลายที่ หรือมีการจัดเก็บชุดข้อมูลที่มีความสัมพันธ์กัน ต้องมีการควบคุมให้ข้อมูลมีความถูกต้องครบถ้วนตรงกัน รวมถึงมาตรการรักษาความปลอดภัยข้อมูลในกรณีที่นำเครื่องคอมพิวเตอร์ออกนอกพื้นที่ของบริษัท เช่น ส่งซ่อม เป็นต้น หรือทำลายข้อมูลที่เก็บอยู่ในสื่อบันทึกก่อน |
(22) มีการควบคุมการเข้าถึงข้อมูลและอุปกรณ์ในการประมวลผลข้อมูล โดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัยในการใช้งานระบบสารสนเทศ กำหนดกฎเกณฑ์ที่เกี่ยวกับการอนุญาตให้เข้าถึง กำหนดสิทธิ์เพื่อให้ผู้ใช้งานในทุกระดับได้รับรู้ เข้าใจ และสามารถปฏิบัติตามแนวทางที่กำหนดโดยเคร่งครัด และตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ โดยกำหนดสิทธิ์การใช้ข้อมูลและระบบสารสนเทศ เช่น สิทธิ์การใช้โปรแกรมระบบสารสนเทศ สิทธิ์การใช้งานอินเทอร์เน็ต เป็นต้น ให้แก่ผู้ใช้งานให้เหมาะสมกับหน้าที่และความรับผิดชอบ โดยต้องให้สิทธิ์เฉพาะเท่าที่จำเป็นแก่การปฏิบัติหน้าที่ และได้รับความเห็นชอบจากผู้มีอำนาจหน้าที่เป็นลายลักษณ์อักษร รวมทั้งทบทวนสิทธิ์ดังกล่าวอย่างสม่ำเสมอ |
(23) กรณีที่มีความจำเป็นที่ผู้ใช้งานซึ่งเป็นเจ้าของข้อมูลสำคัญมีการให้สิทธิ์ผู้ใช้งานรายอื่นให้สามารถเข้าถึงหรือแก้ไขเปลี่ยนแปลงข้อมูลของตนเองได้ เช่น การ Share Files เป็นต้น จะต้องเป็นการให้สิทธิ์เฉพาะรายหรือเฉพาะกลุ่มเท่านั้น และต้องยกเลิกการให้สิทธิ์ดังกล่าวในกรณีที่ไม่มีความจำเป็นแล้ว และเจ้าของข้อมูลต้องมีหลักฐานการให้สิทธิ์ดังกล่าว และต้องกำหนดระยะเวลาการใช้งาน และระงับการใช้งานทันทีเมื่อพ้นระยะเวลาดังกล่าว |
(24) กรณีที่มีความจำเป็นต้องให้สิทธิ์บุคคลอื่น ให้มีสิทธิ์ใช้งานระบบสารสนเทศและระบบเครือข่ายในลักษณะฉุกเฉินหรือชั่วคราว ต้องมีขั้นตอนหรือวิธีปฏิบัติ และต้องมีการขออนุมัติจากผู้มีอำนาจหน้าที่ทุกครั้ง บันทึกเหตุผลและความจำเป็น รวมถึงต้องกำหนดระยะเวลาการใช้งาน และระงับการใช้งานทันทีเมื่อพ้นระยะเวลาดังกล่าว |
(25) มีระบบตรวจสอบตัวตนจริงและสิทธิ์การเข้าใช้งานของผู้ใช้งาน ก่อนเข้าสู่ระบบสารสนเทศที่รัดกุมเพียงพอ เช่น กำหนดรหัสผ่านให้ยากแก่การคาดเดา เป็นต้น และต้องกำหนดให้ผู้ใช้งานแต่ละรายมีบัญชีผู้ใช้งานเป็นของตนเอง ทั้งนี้ การพิจารณาว่าการกำหนดรหัสผ่านมีความยากแก่การคาดเดาและการควบคุมการใช้รหัสผ่านมีความรัดกุมหรือไม่นั้น บริษัทจะใช้ปัจจัยดังต่อไปนี้ประกอบการพิจารณาในภาพรวม |
(26) จะต้องยืนยันตัวตนก่อนเข้าใช้งานระบบด้วยรหัสผ่านที่ผู้ดูแลกำหนด ควรเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ ในการเปลี่ยนรหัสผ่านแต่ละครั้ง ไม่ควรกำหนดให้ซ้ำของเดิม 3 ครั้งหลังสุด และเก็บรหัสไว้เป็นความลับ ไม่จดใส่กระดาษแล้วติดไว้หน้าเครื่อง กรณีผู้ใช้งานมีการใช้งานร่วมกันลักษณะ Shared Users ผู้ดูแลจะแจ้งผู้ใช้งานให้เปลี่ยนรหัสผ่านในการเข้าระบบงานนั้น เมื่อมีการเปลี่ยนแปลงของผู้ใช้งานในสังกัด |
(27) จัดให้มีระบบการตรวจสอบรายชื่อผู้ใช้งานของระบบงานสำคัญอย่างสม่ำเสมอ และดำเนินการตรวจสอบบัญชีรายชื่อผู้ใช้งานที่มิได้มีสิทธิ์ใช้ งานระบบแล้ว เช่น บัญชีรายชื่อของผู้ใช้งานที่ลาออกแล้ว บัญชีรายชื่อที่ติดมากับระบบ เป็นต้น พร้อมทั้งระงับการใช้งานโดยทันทีเมื่อตรวจพบ เช่น Disable เพื่อปิดการใช้งาน หรือ ลบออกจากระบบ หรือเปลี่ยนรหัสผ่าน เป็นต้น |
(28) จัดให้มี Data Center Room ให้เป็นสัดส่วน แบ่งส่วนระบบเครือข่าย ส่วนเครื่องคอมพิวเตอร์แม่ข่าย ส่วนเครื่องสำรองไฟฟ้า ส่วนแบตเตอรี่เครื่องสำรองไฟฟ้า เพื่อความสะดวกในการปฏิบัติงานและทำให้การควบคุมการเข้าถึงอุปกรณ์คอมพิวเตอร์สำคัญต่าง ๆ มีประสิทธิภาพมากขึ้น |
(29) จัดทำข้อตกลงสำหรับการถ่ายโอนข้อมูล โดยคำนึงถึงความมั่นคงปลอดภัยของข้อมูล และผู้ดูแลระบบต้องควบคุมการปฏิบัติงานนั้น ๆ ให้มีความปลอดภัยทั้ง 3 ด้าน คือ การรักษาความลับ การรักษาความถูกต้องของข้อมูล และการรักษาความพร้อมที่จะให้บริการ โดยกำหนดให้มีการรลงนามในสัญญาระหว่างบริษัทและหน่วยงานภายนอกว่าจะไม่เปิดเผยความลับของบริษัท ตลอดจนมีมาตรการในการติดตามและตรวจสอบการปฏิบัติงานและคุณภาพการให้บริการของผู้ให้บริการภายนอกว่าเป็นไปตามสัญญาและข้อตกลง |
8. การเปิดเผยข้อมูลส่วนบุคคล
บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านดังที่กล่าวมาแล้วข้างต้น ให้แก่บุคคลหรือนิติบุคคลต่าง ๆ ทั้งที่เป็นหน่วยงานราชการ องค์กรเอกชน รัฐวิสาหกิจ องค์การมหาชนใด ๆ เพื่อให้บรรลุซึ่งวัตถุประสงค์ที่ได้แจ้งไว้ข้างต้น ตามที่ระบุด้านล่างนี้
8.1 พนักงานของบริษัทอเด็คโก้ในประเทศอื่นๆ ซึ่งบริษัทอเด็คโก้ในประเทศเหล่านั้นมีนโยบายการคุ้มครองข้อมูลส่วนบุคคลและมาตรการการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่มีมาตรฐานเพียงพอ โดยพนักงานแต่ละหน่วยงานต่างปฏิบัติหน้าที่แตกต่างกัน ดังนั้นข้อมูลของท่านจะถูกแชร์ไปยังพนักงานเหล่านี้ด้วยเหตุผลที่แตกต่างกัน ได้แก่ นอกจากนี้คุณสามารถศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลของกลุ่มประเทศในภูมิภาคเอเชียได้ตามลิงค์นี้: Adecco Asia Data Protection Policy ซึ่งอาจจะมีการแก้ไขเป็นครั้งคราว
|
8.2 บุคคลหรือนิติบุคคลที่เป็นเจ้าของผลิตภัณฑ์เพื่อประโยชน์ในการรวบรวมประวัติการสั่งซื้อสินค้า ซึ่งบริษัทจะเปิดเผยเฉพาะเจ้าของผลิตภัณฑ์ หรือเฉพาะแต่ข้อมูลส่วนบุคคลอันจำเป็นต่อการดำเนินการเท่านั้น |
8.3 หน่วยงานราชการตามที่บริษัทต้องปฏิบัติตามประกาศ หลักเกณฑ์ บทบัญญัติของกฎหมาย ได้แก่ กรมสรรพากร สำนักงานประกันสังคม กรมพัฒนาธุรกิจการค้า สำนักงานคณะกรรมการคุ้มครองผู้บริโภค สำนักงานมาตรฐานอุตสาหกรรม กรมศุลกากร กรมการจัดหางาน สำนักงานสวัสดิการและคุ้มครองแรงงาน กรมพัฒนาฝีมือแรงงาน ตลาดหลักทรัพย์แห่งประเทศไทย ธนาคารแห่งประเทศไทย |
8.4 พันธมิตรทางธุรกิจที่บริษัทจะต้องปฏิบัติตามข้อบังคับ ข้อกำหนด ข้อตกลง เงื่อนไขที่ต้องเปิดเผยให้แก่พันธมิตรทางธุรกิจหรือบุคคลอื่น เช่น การเงิน บริษัทประกันภัย สถานพยาบาล บริษัทหลักทรัพย์ บริษัทจัดการกองทุน เพื่อประโยชน์และสวัสดิการให้แก่ท่าน การเปิดเผยให้แก่ลูกค้าหรือสถานที่ปฏิบัติงานของเจ้าของข้อมูลส่วนบุคคลตามที่พันธมิตรทางธุรกิจกำหนด |
8.5 ผู้ที่ให้บริการด้านที่วิชาชีพ ได้แก่ ที่ปรึกษาด้านการเงิน ที่ปรึกษากฎหมาย ที่ปรึกษาระบบคุณภาพ ผู้สอบบัญชี ผู้ตรวจสอบภายใน |
8.6 ผู้ที่ให้บริการด้านโครงสร้างพื้นฐานและเทคโนโลยีสารสนเทศ การจัดเก็บข้อมูล ผู้ให้บริการคลาวด์ |
8.7 ผู้ที่ให้บริการด้านการตลาด การจัดทำข้อมูลในเชิงสถิติ การโฆษณา การประชาสัมพันธ์ และการติดต่อสื่อสาร |
8.8 บุคคลอื่นใดที่กฎหมายกำหนด ในกรณีที่มีกฎหมาย กฎเกณฑ์ ระเบียบต่าง ๆ ที่เกี่ยวข้อง คำสั่งของหน่วยงานราชการ หน่วยงานที่มีหน้าที่ในการกำกับดูแล หรือคำสั่งของหน่วยงานตุลาการให้บริษัทเปิดเผยข้อมูลส่วนบุคคลของท่าน บริษัทจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลดังกล่าว |
8.9 ผู้รับโอนสิทธิ และ/หรือหน้าที่จากบริษัท ในกรณีที่บริษัทประสงค์จะโอนสิทธิ และหน้าที่ของบริษัท รวมถึงการโอนกิจการบางส่วนหรือทั้งหมด การควบรวมกิจการ และการปรับเปลี่ยนโครงสร้างการถือหุ้นบริษัท บริษัทจำเป็นจะต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ผู้รับโอน (รวมถึงผู้ที่มีความเป็นไปได้ที่จะเป็นผู้รับโอน) โดยสิทธิและหน้าที่ของผู้รับโอนในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลของท่านจะเป็นไปตามนโยบายฯ ฉบับนี้ด้วย |
9. สิทธิของเจ้าของข้อมูลส่วนบุคคล
นอกจากสิทธิพื้นฐานของเจ้าของข้อมูลส่วนบุคคลที่บริษัทได้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ได้แก่ สิทธิในการได้รับแจ้งข้อมูล สิทธิในการจำกัดการให้ข้อมูล สิทธิในการได้รับแจ้งเตือน หรือสิทธิในการขอโอนย้ายข้อมูล แล้ว เจ้าของข้อมูลส่วนบุคคลยังมีสิทธิตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้เป็นการเฉพาะ ได้แก่
9.1 การให้ความยินยอม |
เจ้าของข้อมูลส่วนบุคคลมีสิทธิเลือกที่จะให้ข้อมูลส่วนบุคคลใด ๆ ที่บริษัทร้องขอ และยินยอมให้บริษัทเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวหรือไม่ก็ได้ เพียงแต่เจ้าของข้อมูลส่วนบุคคลต้องรับทราบว่าการให้ข้อมูลส่วนบุคคลที่ไม่ครบถ้วนตามที่บริษัทร้องขอ หรือการไม่ให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว อาจทำให้เจ้าของข้อมูลส่วนบุคคลถูกจำกัดสิทธิการใช้บริการบางอย่างของบริษัท หรือส่งผลให้บริษัทไม่สามารถให้บริการแก่เจ้าของข้อมูลส่วนบุคคลได้หากข้อมูลดังกล่าวจำเป็นต่อบริษัทในการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล |
9.2 การเข้าถึงข้อมูล |
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลเหล่านั้น หรือขอให้บริษัทส่งข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมูลเองหรือผู้ควบคุมข้อมูลส่วนบุคคลอื่น (หากข้อมูลดังกล่าวอยู่ในรูปแบบที่สามารถดำเนินการดังกล่าวได้) รวมทั้ง เจ้าของข้อมูลส่วนบุคคลยังสามารถขอให้บริษัทเปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลหากข้อมูลดังกล่าวเป็นข้อมูลที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมในการจัดเก็บ |
9.3 การคัดค้าน |
เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลส่วนบุคคล ในกรณีดังต่อไปนี้ |
(1) ข้อมูลนั้นบริษัทจัดเก็บได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เฉพาะเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัทหรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัท และเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่บริษัท |
(2) ข้อมูลนั้นเก็บ ใช้ หรือเปิดเผยเพื่อการตลาดแบบตรง |
(3) ข้อมูลนั้นเก็บ ใช้ หรือเปิดเผยเพื่อการศึกษาวิจัย |
9.4 การลบ ทำลาย หรือระงับการใช้ |
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอให้บริษัทลบ ทำลาย หรือระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่บริษัทเก็บรักษาไว้ หรือให้บริษัทดำเนินการให้ข้อมูลดังกล่าวกลายเป็นข้อมูลที่ไม่สามารถใช้ระบุตัวเจ้าของข้อมูลได้หากเจ้าของข้อมูลส่วนบุคคลเพิกถอนความยินยอมหรือคัดค้านการเก็บใช้ เปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลส่วนบุคคล หรือเมื่อไม่มีความจำเป็นที่จะต้องเก็บ ใช้ หรือเปิดเผยตามวัตถุประสงค์ที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไว้ หรือเมื่อบริษัทไม่ปฏิบัติตามกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล |
9.5 การแก้ไขข้อมูล |
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอให้บริษัทดำเนินการแก้ไขให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่บริษัทจัดเก็บไว้เป็นข้อมูลที่ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด |
9.6 การถอนความยินยอม |
เจ้าของข้อมูลส่วนบุคคลมีสิทธิถอนความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้ แต่การถอนความยินยอมจะไม่กระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วก่อนหน้านี้ ทั้งนี้ การถอนความยินยอมดังกล่าวอาจทำให้บริษัทไม่สามารถให้บริการแก่เจ้าของข้อมูลส่วนบุคคลต่อไปได้ |
ในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่ระบุไว้ในข้อ 9.1 ถึง 9.6 ข้างต้น เป็นสิทธิที่มีข้อจำกัดตามกฎหมายที่เกี่ยวข้อง และบริษัทอาจปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้หากบริษัทมีเหตุโดยชอบด้วยกฎหมายในการปฏิเสธการใช้สิทธิดังกล่าว |
อย่างไรก็ตาม การใช้สิทธิในฐานะเจ้าของข้อมูลส่วนบุคคลตามที่ระบุไว้ในเอกสารฉบับนี้ ย่อมจำกัดไว้แต่เพียงแต่การให้บริการพื้นฐานที่ไม่ทำให้บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเกิดค่าใช้จ่ายที่เกินความจำเป็น หากการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ก่อให้เกิดค่าธรรมเนียม ค่าใช้จ่ายเพื่อการดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลจะต้องรับผิดชดใช้คืนเงินค่าดำเนินการต่าง ๆ ที่มีการขอใช้สิทธิเช่นว่านั้นแก่บริษัท |
10. ระยะเวลาจัดเก็บ
10.1 ระยะเวลาที่จัดเก็บข้อมูลส่วนบุคคล |
นอกจากจะมีการระบุไว้เป็นการเฉพาะตามที่กฎหมายกำหนดไว้ บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของท่านเป็นระยะเวลา 7 ปี นับจากวันที่ท่านสิ้นสุดนิติสัมพันธ์กับบริษัท เว้นแต่กรณีเป็นความจำเป็นที่เกี่ยวข้องกับการใช้หรือการโต้สิทธิเรียกร้องตามกฎหมาย การบังคับคดี การวางทรัพย์ หรือตามที่กฎหมายกำหนดไว้เป็นการเฉพาะ |
10.2 ระบบการตรวจสอบการลบ/ทำลายข้อมูลส่วนบุคคลที่พ้นระยะเวลาจัดเก็บ |
บริษัทได้จัดให้มีระบบตรวจสอบเพื่อลบหรือทำลายข้อมูลส่วนบุคคลของท่านเมื่อพ้นกำหนดระยะเวลาจัดเก็บ หรือเมื่อข้อมูลดังกล่าวไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ หรือตามที่ท่านร้องขอ หรือเมื่อท่านขอถอนความยินยอม เว้นแต่เป็นกรณีที่บริษัทต้องทำการเก็บรักษาเพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น หรือเป็นไปตามข้อยกเว้นของกฎหมายที่บัญญัติไว้เป็นการเฉพาะ รวมถึงการใช้เพื่อการก่อสิทธิเรียกร้องตามกฎหมาย หรือเพื่อเป็นการปฏิบัติตามการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย |
11. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ประกาศ ณ วันที่ 22 กุมภาพันธ์ 2565
หากท่านประสงค์จะใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของท่าน หรือมีข้อซักถามเกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคล ท่านสามารถติดต่อบริษัท ได้ตามรายละเอียดดังต่อไปนี้ |
ผู้ควบคุมข้อมูลส่วนบุคคล |
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล กลุ่มบริษัทอเด็คโก้ประเทศไทยประกาศ ณ วันที่ 22 กุมภาพันธ์ 2565 |