นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

1. ความสำคัญ และวัตถุประสงค์

บุญรอดบริวเวอรี่เคารพ และให้ความสำคัญในการคุ้มครองสิทธิความเป็นส่วนตัวของลูกค้า คู่ค้าธุรกิจ พันธมิตรทางธุรกิจ พนักงานของบุญรอดบริวเวอรี่ และบุคคลต่างๆ ที่เกี่ยวข้องกับบุญรอดบริวเวอรี่ เพื่อให้เกิดความมั่นใจว่าบุคคลดังกล่าวจะได้รับการคุ้มครองสิทธิอย่างครบถ้วนตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการบริษัท บุญรอดบริวเวอรี่ จำกัด จึงอนุมัติให้ใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้บุญรอดบริวเวอรี่มีหลักเกณฑ์ กลไก มาตรการกำกับดูแล และการบริหารจัดการข้อมูลส่วนบุคคลอย่างชัดเจน ถูกต้อง และเหมาะสม

2. ขอบเขตการบังคับใช้

นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ใช้บังคับกับบุญรอดบริวเวอรี่ พนักงานของบุญรอดบริวเวอรี่ และบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของบุญรอดบริวเวอรี่

3. คำนิยาม

3.1 การประมวลผล (Processing) หมายถึง การดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคล หรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลง ปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวาง หรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย

3.2 ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรง หรือทางอ้อม เช่น ชื่อ นามสกุล รูปภาพ อีเมล เบอร์โทรศัพท์ IP Address

3.3 เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรง หรือทางอ้อม

3.4 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลธรรมดา หรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล

3.5 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลธรรมดา หรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

3.6 บุญรอดบริวเวอรี่ หมายถึง บริษัท บุญรอดบริวเวอรี่ จำกัด และบริษัทซึ่งบริษัท บุญรอดบริวเวอรี่ จำกัด ถือหุ้นไม่ว่าโดยทางตรง หรือทางอ้อม

4. นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Governance)

4.1 บุญรอดบริวเวอรี่จะจัดให้มีโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล เพื่อกำหนดวิธีการ และมาตรการที่เหมาะสมในการปฏิบัติตามกฎหมาย ดังนี้

(1) กำหนดให้มีโครงสร้างองค์กร (Organizational Structure) รวมทั้งกำหนดบทบาท ภารกิจ และความรับผิดชอบของหน่วยงาน และผู้ปฏิบัติงานที่เกี่ยวข้องให้ชัดเจน เพื่อสร้างกลไกการกำกับดูแล การควบคุม ความรับผิดชอบ การปฏิบัติงาน การบังคับใช้ และการติดตามมาตรการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่

(2) แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) โดยมีบทบาท และหน้าที่ตามที่กำหนดในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่

4.2 บุญรอดบริวเวอรี่จะจัดทำนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่

4.3 บุญรอดบริวเวอรี่จะจัดให้มีกระบวนการบริหารการปฏิบัติตามนโยบาย (Policy Management Process) เพื่อควบคุมดูแลให้มีการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่อย่างต่อเนื่อง

4.4 บุญรอดบริวเวอรี่จะดำเนินการฝึกอบรมพนักงานของบุญรอดบริวเวอรี่อย่างสม่ำเสมอ เพื่อให้พนักงานตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และทำให้มั่นใจได้ว่าพนักงานที่เกี่ยวข้องทุกคนผ่านการฝึกอบรม และมีความรู้ความเข้าใจในการคุ้มครองข้อมูลส่วนบุคคล และปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่

5. นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)

5.1 บุญรอดบริวเวอรี่จะประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย เป็นธรรม โปร่งใส และคำนึงถึงความถูกต้องของข้อมูลส่วนบุคคล ทั้งนี้ การกำหนดขอบเขตวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคล และระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล ให้ทำได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย และแนวทางการดำเนินธุรกิจของบุญรอดบริวเวอรี่ อีกทั้งบุญรอดบริวเวอรี่จะดำเนินการรักษาความลับ ความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ

5.2 บุญรอดบริวเวอรี่จะจัดให้มีกระบวนการ และการควบคุมเพื่อบริหารจัดการข้อมูลส่วนบุคคลในทุกขั้นตอนให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่โดยจะจัดให้มีนโยบายการจัดเก็บข้อมูลส่วนบุคคล (Personal Data Retention Policy)

5.3 บุญรอดบริวเวอรี่จะจัดทำ และรักษาบันทึกการประมวลผลข้อมูลส่วนบุคคล (Records of Processing: RoP) สำหรับบันทึกรายการ และกิจกรรมต่างๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลให้สอดคล้องกับกฏหมาย รวมทั้งจะปรับปรุงบันทึกการประมวลผลข้อมูลส่วนบุคคลเมื่อมีการเปลี่ยนแปลงรายการ หรือกิจกรรมที่เกี่ยวข้อง

5.4 บุญรอดบริวเวอรี่จะจัดให้มีกระบวนการที่ชัดเจนเพื่อให้มั่นใจได้ว่าการแจ้งวัตถุประสงค์      การเก็บรวบรวม และรายละเอียดการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices) สอดคล้องกับกฎหมาย และจะจัดให้มีขั้นตอนปฏิบัติการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (Consent Management Procedure) รวมทั้งจัดให้มีมาตรการดูแล และตรวจสอบในเรื่องดังกล่าว

5.5 บุญรอดบริวเวอรี่จะจัดให้มีนโยบายการทำข้อตกลง หรือสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล (Outsourcing Policy for Personal Data Processing) เพื่อให้มั่นใจได้ว่าการประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล เป็นไปโดยถูกต้องตามกฎหมาย และสอดคล้องกับแนวทางการดำเนินธุรกิจของ                 บุญรอดบริวเวอรี่

5.6 บุญรอดบริวเวอรี่จะจัดให้มีกลไกการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล รวมทั้งจัดให้มีกลไกการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง

5.7 ในกรณีที่บุญรอดบริวเวอรี่ส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล บุญรอดบริวเวอรี่จะจัดทำข้อตกลงกับผู้ที่รับ หรือใช้ข้อมูลส่วนบุคคลนั้นเพื่อกำหนดสิทธิ และหน้าที่ให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ หรือกรณีที่บุญรอดบริวเวอรี่ส่ง หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บุญรอดบริวเวอรี่จะปฏิบัติให้สอดคล้องกับกฎหมาย โดยจะจัดให้มีนโยบายการเปิดเผยข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก หรือการส่ง หรือโอนข้อมูลส่วนบุคคลไปยังหน่วยงานในต่างประเทศ  (Third Parties/Cross Border Data Transfer Policy)

5.8 บุญรอดบริวเวอรี่จะจัดให้มีนโยบายการลบ หรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด (Personal Data Disposal Policy) ซึ่งจะทำลายข้อมูลส่วนบุคคลเมื่อครบกำหนดระยะเวลา โดยปฏิบัติให้สอดคล้องกับกฎหมาย และแนวทางการดำเนินธุรกิจของบุญรอดบริวเวอรี่

5.9 บุญรอดบริวเวอรี่จะประเมินความเสี่ยง และจัดทำมาตรการเพื่อบรรเทาความเสี่ยง และลดผลกระทบที่จะเกิดขึ้นกับการประมวลผลข้อมูลส่วนบุคคล

6. นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights)

6.1 บุญรอดบริวเวอรี่จะจัดให้มีมาตรการ ช่องทาง และวิธีการเพื่อให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิของตนได้ตามที่กฎหมายกำหนด รวมทั้งจะดำเนินการบันทึก และประเมินผลการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

6.2 บุญรอดบริวเวอรี่จะจัดให้มีขั้นตอนปฏิบัติต่อคำขอของเจ้าของข้อมูลส่วนบุคคล (Data Subject Request Procedure) เพื่อให้มั่นใจได้ว่าคำขอใช้สิทธิต่างๆ ของเจ้าของข้อมูลส่วนบุคคลจะได้รับการปฏิบัติอย่างถูกต้องตามกฎหมาย

7. นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security)

7.1 บุญรอดบริวเวอรี่จะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ รวมทั้งดำเนินการป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลส่วนบุคคล และการนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต

7.2 บุญรอดบริวเวอรี่จะจัดให้มีขั้นตอนปฏิบัติในการตอบสนองต่อเหตุการณ์ซึ่งส่งผลกระทบต่อความปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Breach Management Procedure) เพื่อให้สามารถระบุ และจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้อย่างทันท่วงที

7.3 บุญรอดบริวเวอรี่จะจัดให้มีกระบวนการแจ้งเจ้าของข้อมูลส่วนบุคคล รวมถึงเจ้าพนักงานของรัฐ ผู้ควบคุมข้อมูลส่วนบุคคล (ในกรณีที่บุญรอดบริวเวอรี่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วมกัน) และบุคคลอื่นให้สอดคล้องกับกฎหมาย

8. นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการกำกับให้เกิดการปฏิบัติตามมาตรการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Compliance)

8.1 บุญรอดบริวเวอรี่จะจัดให้มีกระบวนการติดตามในกรณีที่กฎหมายเปลี่ยนแปลงไป และปรับปรุงมาตรการคุ้มครองข้อมูลส่วนบุคคลให้ทันสมัย และสอดคล้องกับกฎหมายอยู่เสมอ

8.2 บุญรอดบริวเวอรี่จะจัดให้มีการทบทวน และปรับปรุงนโยบาย (Policy) มาตรฐานปฏิบัติงาน(Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลเป็นประจำ เพื่อให้ทันสมัยสอดคล้องกับกฎหมาย และสถานการณ์ในแต่ละช่วงเวลา

9. บทบาท หน้าที่ และความรับผิดชอบ

9.1 คณะกรรมการบริษัท มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้

(1) กำกับให้เกิดโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล และการควบคุมภายในที่เกี่ยวข้องของบุญรอดบริวเวอรี่ เพื่อให้เกิดการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่

(2) กำกับดูแล และสนับสนุนให้บุญรอดบริวเวอรี่ดำเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ และสอดคล้องกับกฎหมาย

9.2 คณะกรรมการกำกับการจัดการข้อมูล (Data Governance) คณะกรรมการกำกับการจัดการข้อมูลที่คณะกรรมการบริษัทแต่งตั้งขึ้นมีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้

(1) จัดให้มีโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล และการควบคุมภายในที่เกี่ยวข้อง รวมถึงนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

(2) ประเมินประสิทธิภาพการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ         บุญรอดบริวเวอรี่ และรายงานผลการประเมินดังกล่าวให้คณะกรรมการบริษัททราบเป็นประจำอย่างน้อย 1 ครั้งต่อปี รวมถึงควบคุมดูแลให้มั่นใจได้ว่าความเสี่ยงต่างๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้รับการจัดการ และมีแนวทางการบริหารความเสี่ยงที่เหมาะสม

(3) กำหนด และทบทวนมาตรฐานการปฏิบัติงาน (Standards) และแนวปฏิบัติ (Guidelines) เพื่อให้การดำเนินงานของบุญรอดบริวเวอรี่สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่

(4) เสนอรายชื่อบุคคลให้กรรมการผู้จัดการใหญ่แต่งตั้งเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

9.3 ผู้บริหาร มีบทบาท หน้าที่ และความรับผิดชอบในการติดตามควบคุมให้หน่วยงานที่ตนดูแลปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ และส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้นกับพนักงานของบุญรอดบริวเวอรี่

9.4 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีบทบาท หน้าที่ และความรับผิดชอบตามที่กฎหมายกำหนด ซึ่งรวมถึงหน้าที่ดังต่อไปนี้

(1) รายงานสถานะการคุ้มครองข้อมูลส่วนบุคคลให้คณะกรรมการกำกับการจัดการข้อมูลทราบอย่างสม่ำเสมอ และจัดทำข้อเสนอแนะเพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ให้ทันสมัย และสอดคล้องกับกฎหมายอยู่เสมอ

(2) ให้คำแนะนำพนักงาน และหน่วยงานต่างๆ ของบุญรอดบริวเวอรี่เกี่ยวกับการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่

(3) ตรวจสอบการดำเนินงานของหน่วยงานของบุญรอดบริวเวอรี่ ให้เป็นไปตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่

9.5 พนักงานของบุญรอดบริวเวอรี่ มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้

(1) ปฏิบัติให้สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่  มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

(2) รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ให้ผู้บังคับบัญชาทราบ

10. โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล

การไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่อาจมีความผิด และถูกลงโทษทางวินัย รวมทั้งอาจได้รับโทษตามที่กฎหมายกำหนด

นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ฉบับนี้ มีผลใช้บังคับตั้งแต่วันประกาศเป็นต้นไป

ประกาศ ณ วันที่ 19 เดือน พฤศจิกายน พ.ศ.2563

นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) สำหรับลูกค้า

บริษัท บุญรอดบริวเวอรี่ จำกัด และบริษัทในเครือตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล เนื่องจากการคุ้มครองข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของการรับผิดชอบต่อสังคม และเป็นรากฐานในการสร้างความสัมพันธ์ทางธุรกิจที่น่าเชื่อถือระหว่างบริษัทฯ กับบุคคลภายนอก บริษัทฯ จึงยึดมั่นในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และกฎเกณฑ์ของราชการอื่น ๆ ที่เกี่ยวข้อง

เพื่อให้เกิดความมั่นใจว่าลูกค้าของบริษัทฯ ได้รับการคุ้มครองข้อมูลส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ถูกจัดทำขึ้นเพื่อจัดให้มีวิธีการจัดการข้อมูลส่วนบุคคลที่เหมาะสม และมีมาตรการรักษาความปลอดภัยที่เหมาะสมสำหรับการปกป้องข้อมูลส่วนบุคคลของลูกค้าที่บริษัทฯ ทำการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนกฎหมาย และกฎเกณฑ์ของราชการอื่น ๆ ที่เกี่ยวข้อง

1. นิยาม

บริษัทฯ หมายถึง บริษัท บุญรอดบริวเวอรี่ จำกัด และบริษัทในเครือ
บริษัทในเครือ หมายถึง บริษัทซึ่งมีรายชื่อตามลิงค์นี้ https://www.boonrawd.co.th
ผู้ใช้บริการ หมายถึง บุคคล หรือนิติบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลที่เข้าใช้บริการต่าง ๆ ของบริษัท บุญรอดบริวเวอรี่ จำกัด และบริษัทในเครือ
ผู้มีอำนาจอนุมัติ หมายถึง ผู้ที่ได้รับมอบหมายจากบริษัทฯ ให้มีอำนาจในการอนุมัติใด ๆ ภายใต้ขอบเขตอำนาจที่ได้รับจากบริษัทฯ
ผู้ดูแลระบบงาน หมายถึง หน่วยงาน หรือผู้ที่ได้รับมอบหมายจากเจ้าของระบบงาน หรือเจ้าของข้อมูลส่วนบุคคลให้ทำหน้าที่รับผิดชอบดูแลระบบงานหนึ่ง ๆ
เจ้าของระบบงาน หมายถึง ผู้บริหารของฝ่ายงานทางธุรกิจ หรือผู้บริหารที่มีหน้าที่ และความรับผิดชอบต่อระบบงานหนึ่ง ๆ
เจ้าของข้อมูลส่วนบุคคล หมายถึง บุคคลธรรมดาซึ่งสามารถถูกระบุตัวตนได้โดยข้อมูลส่วนบุคคลนั้น ๆ ไม่ว่าโดยทางตรง หรือทางอ้อม ซึ่งมีความหมายในลักษณะเป็นบุคคลที่ข้อมูลนั้นชี้บ่งไปถึง ไม่ใช่เป็นเจ้าของในลักษณะทรัพยสิทธิ หรือเป็นคนสร้างข้อมูลนั้นขึ้นมา
ผู้เยาว์ หมายถึง บุคคลธรรมดาที่มีอายุยังไม่ครบยี่สิบปีบริบูรณ์ ยกเว้นบุคคลธรรมดาที่มีอายุยังไม่ครบยี่สิบปีบริบูรณ์แต่ได้ทำการสมรสตามกฎหมายอันมีผลให้เป็นผู้บรรลุนิติภาวะตามบทบัญญัติแห่งกฎหมาย
คนไร้ความสามารถ หมายถึง บุคคลวิกลจริตที่ไม่สามารถดูแลตัวเอง หรือผลประโยชน์ของตัวเองได้ ซึ่งศาลได้สั่งให้เป็นคนไร้ความสามารถ
คนเสมือนไร้ความสามารถ หมายถึง บุคคลที่มีกายพิการ หรือมีจิตฟั่นเฟือนไม่สมประกอบ หรือประพฤติสุรุ่ยสุร่ายเสเพลเป็นอาจิณ หรือติดสุรายาเมา หรือเหตุอื่นใดทำนองเดียวกันจนไม่สามารถจัดทำการงานโดยตนเองได้ หรือจัดกิจการไปในทางที่เสื่อมเสียแก่ทรัพย์สินของตนเอง หรือครอบครัว ซึ่งศาลได้สั่งให้เป็นคนเสมือนไร้ความสามารถ และอยู่ในความดูแลของผู้พิทักษ์ที่ศาลแต่งตั้ง
ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรง หรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล อีเมล รูป ลายนิ้วมือ รหัสประชาชน ซึ่งสามารถระบุตัวบุคคลได้ในทางตรง หรือการเก็บ Location หรือ Cookie ซึ่งทำให้สามารถระบุตัวบุคคลได้ในทางอ้อม นอกจากนี้ รวมถึงข้อมูลที่โดยพื้นฐานแล้วไม่สามารถนำไประบุตัวบุคคลได้แต่เมื่อนำไปใช้ร่วมกับข้อมูลอื่นแล้วก่อให้เกิดชุดข้อมูลที่สามารถระบุข้อมูลส่วนบุคคลได้ เช่น ที่อยู่ เพศ และอายุ เมื่อนำมารวมกันสามารถนำไประบุตัวบุคคลได้ก็จะเกิดเป็นข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่กฎหมายกำหนด
ข้อมูลชีวภาพ หมายถึง ข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิค หรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพ หรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลจำลองภาพใบหน้า (Face Recognition) ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ
ข้อมูลสาธารณะ หมายถึง ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้เปิดเผยต่อสาธารณชน เช่น ข้อมูลโปรไฟล์สื่อสังคมออนไลน์ เมื่อมีการใช้ข้อมูล และรหัสการเข้าระบบของสื่อสังคมออนไลน์ (Social Media Credential) เช่น Facebook, Twitter, Line เพื่อเชื่อมต่อ หรือเข้าสู่บริการ ใด ๆ ของบริษัทฯ เช่น บัญชีสื่อสังคมออนไลน์ (Social Media Account ID) สิ่งที่สนใจ (Interests) รายการที่ชอบ (Likes) และรายชื่อเพื่อนของเจ้าของข้อมูลส่วนบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลสามารถควบคุมการจัดเก็บความเป็นส่วนตัวนี้ผ่านการตั้งค่าบัญชีสื่อสังคมออนไลน์ที่จัดทำไว้ให้โดยผู้ให้บริการสื่อสังคมออนไลน์ดังกล่าว
ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง ผู้ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล หมายถึง ผู้ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
การประมวลผลข้อมูล หมายถึง การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคล หรือชุดข้อมูลส่วนบุคคลไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลง หรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวาง หรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย
แอปพลิเคชัน หมายถึง โปรแกรม หรือชุดคำสั่งที่ใช้ควบคุมการทำงานของคอมพิวเตอร์เคลื่อนที่ และอุปกรณ์ต่อพ่วงต่าง ๆ เพื่อให้ทำงานตามคำสั่ง และตอบสนองความต้องการของผู้ใช้ โดย แอปพลิเคชัน (Application) ต้องมีสิ่งที่เรียกว่า ส่วนติดต่อกับผู้ใช้ (User Interface หรือ UI) เพื่อเป็นตัวกลางการใช้งานต่าง ๆ IP Address
คุกกี้ (Cookie หมายถึง สัญลักษณ์เชิงหมายเลขที่กำหนดให้แก่อุปกรณ์แต่ละชนิด เช่นคอมพิวเตอร์ หรือ เครื่องพิมพ์ที่มีส่วนร่วมอยู่ในเครือข่ายคอมพิวเตอร์หนึ่ง ๆ ที่ใช้อินเทอร์เน็ตโพรโทคอลในการสื่อสาร หมายถึง ข้อมูลขนาดเล็กที่เว็บไซต์ของบริษัทฯ ส่งไปยังคอมพิวเตอร์ หรืออุปกรณ์อิเล็กทรอนิกส์ที่เชื่อมต่ออินเทอร์เน็ตเพื่อเก็บข้อมูลส่วนบุคคล โดยคุกกี้จะถูกส่งกลับไปที่เว็บไซต์ต้นทางในแต่ละครั้งที่กลับเข้ามาดูที่เว็บไซต์ดังกล่าว
สำนักงาน หมายถึง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลซึ่งจัดตั้งขึ้นตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

2. บทบาทหน้าที่ และความรับผิดชอบ

2.1 คณะกรรมการบริษัทฯ มีหน้าที่กำกับดูแลให้มีการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย และกฎเกณฑ์ของราชการ

2.2 คณะกรรมการกำกับการจัดการข้อมูล (Data Governance) ได้รับแต่งตั้งจากคณะกรรมการ บริษัทฯ ให้มีหน้าที่ และความรับผิดชอบดังต่อไปนี้

2.2.1 จัดให้มีโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล และการควบคุมภายในที่เกี่ยวข้อง รวมถึงนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

2.2.2 กำหนด และทบทวนนโยบาย มาตรฐานการปฏิบัติงาน แนวปฏิบัติ และขั้นตอนปฏิบัติเพื่อให้การดำเนินงานของบริษัทฯ สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ

2.2.3 ให้ข้อเสนอแนะ และพิจารณากลั่นกรองวัตถุประสงค์ นโยบาย แผนงาน แนวปฏิบัติ กระบวนการ และเอกสารที่เกี่ยวข้องด้านการจัดการข้อมูลส่วนบุคคล

2.2.4 ประเมินประสิทธิภาพการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ และรายงานผลการประเมินดังกล่าวให้คณะกรรมการบริษัทฯ ทราบเป็นประจำอย่างน้อย 1 ครั้งต่อปี

2.2.5 แต่งตั้ง หรือปรับเปลี่ยนคณะทำงานการจัดการข้อมูลส่วนบุคคลเพื่อสนับสนุนการดำเนินงานของคณะกรรมการกำกับการจัดการข้อมูลได้ตามความเหมาะสม

2.2.6 กำกับดูแลการดำเนินงานของคณะทำงานการจัดการข้อมูลส่วนบุคคล

2.2.7 เชิญหน่วยงาน หรือบุคคลที่เกี่ยวข้องเข้าร่วมชี้แจง หรือให้ข้อคิดเห็นที่เป็นประโยชน์ต่อการดำเนินงานได้

2.2.8 กำกับดูแลการปฏิบัติตามนโยบาย และมีอำนาจอนุมัติการเปลี่ยนแปลงแก้ไข หรือทบทวนนโยบายนี้

2.3 ผู้บริหารมีหน้าที่ และความรับผิดชอบในการจัดการ ติดตาม และควบคุมให้หน่วยงานที่ตนดูแลปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ รวมถึงจัดให้มีการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่มีประสิทธิผล

2.4 พนักงานมีหน้าที่ปฏิบัติตามนโยบายฉบับนี้ ระเบียบปฏิบัติ และคำสั่งของบริษัทฯ รวมถึงกฎหมาย และกฎเกณฑ์ของราชการต่าง ๆ ที่เกี่ยวข้องโดยเคร่งครัด

3. บททั่วไป

ข้อกำหนดทั่วไป

3.1 การคุ้มครองข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ครอบคลุมข้อมูลส่วนบุคคลของลูกค้าซึ่งเป็นบุคคลธรรมดา

3.2 บริษัทฯ กำหนดให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) มีหน้าที่ดำเนินการทบทวนนโยบายฉบับนี้อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญต่อการปฏิบัติงานตามนโยบายฉบับนี้พร้อมเสนอให้คณะกรรมการกำกับการจัดการข้อมูล (Data Governance) ของบริษัทฯ พิจารณาอนุมัติ และการเปลี่ยนแปลงใด ๆ บริษัทฯ จะประกาศให้ทราบผ่านเว็บไซต์ของบริษัทฯ https://www.boonrawd.co.th

3.3 บริษัทฯ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะนั้น เว้นแต่บริษัทฯ ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ หรือมีฐานที่ชอบด้วยกฎหมายรองรับ ดังนี้

3.3.1 เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา

3.3.2 เป็นการปฏิบัติตามกฎหมาย

3.3.3 เป็นการจำเป็นภายใต้ประโยชน์โดยชอบด้วยกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุผล

3.3.4 เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะ

3.3.5 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต

3.3.6 เพื่อการจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ

3.4 บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย และแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบตามที่กฎหมายกำหนด

3.5 บริษัทฯ ลบ ทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือตามที่เจ้าของข้อมูลส่วนบุคคลถอนความยินยอม เว้นแต่มีเหตุโดยชอบด้วยกฎหมายหรือกฎเกณฑ์ทางราชการที่ทำให้บริษัทฯ ต้องเก็บรักษาข้อมูลส่วนบุคคลนั้นต่อไป

3.6 บริษัทฯ มีการดูแลข้อมูลส่วนบุคคลอย่างปลอดภัย รวมถึงคำนึงถึงความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลและการรักษาความลับของข้อมูลส่วนบุคคล

4. การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

4.1 การขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล ต้องดำเนินการอย่างชัดแจ้งเป็นหนังสือ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีดังกล่าวได้ การขอความยินยอมด้วยวิธีอื่นจะต้องมีหลักฐานที่น่าเชื่อถือได้ว่าเจ้าของข้อมูลส่วนบุคคลได้แสดงเจตนาให้ความยินยอม

4.2 เจ้าของข้อมูลส่วนบุคคลต้องได้รับการแจ้งให้ทราบถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างชัดเจน เข้าใจง่าย ไม่หลอกลวง หรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ และคำนึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม

4.3 กรณีเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรส หรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์

4.4 กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ

4.5 กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ

4.6 กรณีเจ้าของข้อมูลส่วนบุคคล หรือผู้มีอำนาจตามข้อ 4.3, 4.4, 4.5 ต้องการถอนความยินยอมที่เคยให้ไว้ ให้ดำเนินการตามที่เจ้าของข้อมูลส่วนบุคคลขอโดยง่ายเช่นเดียวกับการให้ความยินยอม และหากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ให้แจ้งถึงผลกระทบจากการถอนความยินยอมนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ

4.7 บริษัทฯ ต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลเท่านั้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างจากวัตถุประสงค์ที่ได้แจ้งไว้จะทำไม่ได้ เว้นแต่ได้แจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบโดยได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว

5. วัตถุประสงค์การเก็บรวบรวมข้อมูลส่วนบุคคล

5.1 การเก็บรวบรวมข้อมูลส่วนบุคคลต้องมีวัตถุประสงค์เพื่อนำข้อมูลส่วนบุคคลมาใช้ในการดำเนินงานของบริษัทฯ ในด้านต่าง ๆ ภายใต้ข้อกำหนดของกฎหมาย หรือกฎเกณฑ์ของราชการ

5.2 ในการเก็บรวบรวมข้อมูลส่วนบุคคล ให้แจ้งเจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียดดังต่อไปนี้

5.2.1 วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำข้อมูลส่วนบุคคลไปใช้ หรือเปิดเผย

5.2.2 ความจำเป็นที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมาย หรือเพื่อเข้าทำสัญญา และผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล

5.2.3 ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวม และระยะเวลาในการเก็บรวบรวมไว้

5.2.4 ประเภทของบุคคล หรือหน่วยงานที่อาจได้รับการเปิดเผยข้อมูลส่วนบุคคล รวมถึงรายชื่อของบุคคล หรือหน่วยงานดังกล่าว (ตามแต่กรณี)

5.2.5 สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย

5.2.6 ข้อมูลเกี่ยวกับบริษัทฯ และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ

5.3 ข้อมูลส่วนบุคคลที่เก็บรวบรวมต้องถูกต้องครบถ้วนตามข้อเท็จจริงที่ได้รับแจ้งจากเจ้าของข้อมูลส่วนบุคคล หากข้อมูลมีการเปลี่ยนแปลงให้ดำเนินการแก้ไขให้ถูกต้อง และเป็นปัจจุบัน

5.4 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว ให้ดำเนินการขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ และต้องขออนุมัติจากผู้มีอำนาจอนุมัติทุกครั้งก่อนการเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว

5.5 การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง ต้องแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบภายใน 30 วัน นับแต่วันเก็บรวบรวมข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ โดยขออนุมัติจากผู้มีอำนาจอนุมัติ

5.6 การเก็บรวบรวมข้อมูลส่วนบุคคลต้องมีการบันทึกรายละเอียดวัตถุประสงค์การเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ระยะเวลาเก็บรักษาข้อมูล สิทธิ และวิธีการเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล รวมถึงรายละเอียดอื่น ๆ ตามที่กฎหมายกำหนด เพื่อให้เจ้าของข้อมูลส่วนบุคคล หรือสำนักงานสามารถตรวจสอบได้

6. การเข้าถึง และการใช้ข้อมูลส่วนบุคคล

6.1 พนักงานของบริษัทฯ สามารถเข้าถึง หรือใช้ข้อมูลส่วนบุคคลได้เท่าที่จำเป็นเพื่อการปฏิบัติงาน และตามสิทธิที่บริษัทฯ กำหนด หากพนักงานของบริษัทฯ มีความจำเป็นในการปฏิบัติงานที่ต้องเข้าถึงข้อมูลส่วนบุคคลเกินกว่าสิทธิที่บริษัทฯ กำหนด ต้องดำเนินการขออนุมัติจากผู้มีอำนาจ

6.2 พนักงานของบริษัทฯ ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่เก็บรวบรวมข้อมูลส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมเท่านั้น เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ

6.3 ผู้ดูแลระบบงาน และเจ้าของระบบงานต้องอนุญาตให้พนักงานของบริษัทฯ เข้าถึงข้อมูลส่วนบุคคลได้เฉพาะพนักงานของบริษัทฯ ที่มีสิทธิตามที่กำหนด หรือได้รับการอนุมัติจากผู้มีอำนาจอนุมัติ

7. วิธีที่ได้มา

7.1 ข้อมูลส่วนบุคคลที่ได้รับจากเจ้าของข้อมูลส่วนบุคคลโดยตรง

7.2 ข้อมูลส่วนบุคคลที่ได้รับจากบริษัทในเครือ

7.3 ข้อมูลส่วนบุคคลจากบุคคลที่สาม เช่น ตัวแทน ร้านค้า หรือบริษัทที่ให้การบริการจัดเก็บรวบรวมข้อมูล คู่ค้า พันธมิตร เป็นต้น

7.4 ข้อมูลส่วนบุคคลที่ได้รับจากการเข้าเยี่ยมชมเว็บไซต์ เช่น ชื่อของผู้ให้บริการอินเทอร์เน็ต และที่อยู่ไอพี (IP Address) ผ่านการเข้าใช้อินเทอร์เน็ต วันที่ และเวลาของการเข้าเยี่ยมชมเว็บไซต์ หน้าเพจที่เข้าเยี่ยมชมขณะเข้าเว็บไซต์ และที่อยู่ของเว็บไซต์ ซึ่งเชื่อมโยงโดยตรงกับเว็บไซต์ของบริษัทฯ

7.5 ข้อมูลส่วนบุคคลที่ได้รับจากข้อมูลสาธารณะ (Public Records) และที่ไม่ใช่สาธารณะ (Non-Public Records) ที่บริษัทฯ มีสิทธิเก็บรวบรวมได้ตามกฎหมาย

7.6 ข้อมูลส่วนบุคคลที่ได้รับจากหน่วยงานภาครัฐ หน่วยงานกำกับดูแลที่ใช้อำนาจตามกฎหมาย

8. การเปิดเผย และการรับข้อมูลส่วนบุคคล

8.1 การเปิดเผยข้อมูลส่วนบุคคลต่อบุคคล หรือองค์กรภายนอกบริษัทฯ ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล และต้องได้รับอนุมัติจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เว้นแต่เป็นการปฏิบัติตามกฎหมาย หรือกฎเกณฑ์ของราชการบริษัทฯ จะเปิดเผยข้อมูลส่วนบุคคลให้แก่บริษัทในเครือ บุคคลภายนอก และ/หรือองค์กร หรือหน่วยงานภายนอกเฉพาะในกรณี ดังต่อไปนี้

8.1.1 ผู้ที่ได้รับอนุญาตให้เป็นคนกลาง ได้แก่ บริษัทขนส่ง บริษัทที่ให้บริการในการจัดเก็บข้อมูล และรวบรวมข้อมูล บริษัทรับพัฒนา และบำรุงรักษาระบบในการดำเนินกิจกรรมต่าง ๆ ของบริษัทฯ

8.1.2 คู่ค้า พันธมิตรทางธุรกิจ บริษัทย่อย และ/หรือผู้ให้บริการภายนอกเพื่อให้บริการในการนำเสนอสิทธิประโยชน์ และบริการอื่น ๆ ของบริษัทฯ แก่เจ้าของข้อมูลส่วนบุคคล รวมถึงการพัฒนา ปรับปรุง ผลิตภัณฑ์ หรือบริการของบริษัทฯ เช่น การวิเคราะห์ข้อมูล การประมวลผลข้อมูล การให้บริการด้านเทคโนโลยีสารสนเทศ และการจัดเตรียมโครงสร้างพื้นฐานที่เกี่ยวข้อง การพัฒนาแพลตฟอร์มบริการลูกค้า การส่งอีเมล/SMS การพัฒนาเว็บไซต์ การพัฒนาแอปพลิเคชันบนมือถือ การสำรวจความพึงพอใจ และการทำวิจัย การบริหารความสัมพันธ์กับลูกค้าโดยจะมีการทำสัญญารักษาข้อมูลส่วนบุคคลไว้เป็นความลับ กรณีนิติบุคคลจะต้องมีมาตรฐานด้านความคุ้มครองข้อมูลส่วนบุคคลที่มีมาตรฐานเป็นที่ยอมรับ

8.1.3 หน่วยงานรัฐบาล รัฐบาล หรือองค์กรอื่นตามกฎหมาย เพื่อเป็นการปฏิบัติตามกฎหมาย คำสั่ง คำร้องขอ เพื่อการประสานงานกับหน่วยงานต่าง ๆ ในเรื่องที่เกี่ยวข้องกับการปฏิบัติตามกฎหมาย

8.2 การรับข้อมูลส่วนบุคคลจากบุคคล หรือองค์กรภายนอกบริษัทฯ ต้องตรวจสอบให้มั่นใจว่าข้อมูลส่วนบุคคลที่ได้รับมีฐานที่ชอบด้วยกฎหมายรองรับ และต้องได้รับอนุมัติจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เว้นแต่เป็นการปฏิบัติตามกฎหมาย หรือกฎเกณฑ์ของราชการบริษัทฯ จะทำการเก็บรวบรวมข้อมูลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้กับบริษัทฯ โดยตรง หรือข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับจากการให้บริการ หรือการดำเนินงานของบริษัทฯ ผ่านทุกช่องทางซึ่งรวมถึงช่องทางดังต่อไปนี้

8.2.1 ข้อมูลที่ได้รับเมื่อเจ้าของข้อมูลส่วนบุคคลทำการลงทะเบียน หรือกรอกใบสมัครขอเข้าร่วมกิจกรรมต่าง ๆ ของบริษัทฯ หรือการใช้บริการอื่น ๆ ของบริษัทฯ เช่น ชื่อ นามสกุล หมายเลขบัตรประจำตัวประชาชน หรือบัตรประจำตัวอื่น ๆ หมายเลขโทรศัพท์ วันเดือนปีเกิด ที่อยู่ อีเมล เป็นต้น

8.2.2 ข้อมูลจากการสมัครสมาชิก หรือเข้าร่วมกิจกรรม ข้อมูลในการสร้างบัญชีผู้ใช้งาน (Account) ที่ถูกสร้าง โปรไฟล์ที่ประกอบด้วยรายละเอียดข้อมูลส่วนบุคคลที่ให้ไว้กับบริษัทฯ เพื่อการเข้าใช้บริการในช่องทางการให้บริการของบริษัทฯ อาทิ แอปพลิเคชันการใช้งานผ่านอุปกรณ์เคลื่อนที่ และ/หรือผ่านเว็บไซต์ของบริษัทฯ ได้แก่ บัญชีออนไลน์ หรือบัญชีของแอปพลิเคชันที่ให้บริการของบริษัทฯ ตลอดจนข้อมูลส่วนบุคคลที่ให้ไว้เพื่อทำการสมัครต่าง ๆ ได้แก่ สมัครเข้าร่วมกิจกรรม และ/หรือติดต่อกับบริษัทฯ ผ่านทางเว็บไซต์หรือทางช่องทางอื่น ๆ ตามที่บริษัทฯ กำหนด

8.2.3 ข้อมูลการสมัครรับข่าวสารต่าง ๆ จากการทำแบบสำรวจ หรือข้อมูลการร่วมกิจกรรมต่าง ๆ เช่น ความพึงพอใจ ความสนใจ หรือพฤติกรรมการบริโภค เป็นต้น

8.2.4 ข้อมูลเกี่ยวกับการทำธุรกรรมกับบริษัทฯ หรือกับบริษัทย่อย หรืออื่น ๆ เช่น ข้อมูลการสมัครงาน ข้อมูลการสมัครเป็นตัวแทน ข้อมูลเพื่อการเข้าเสนอราคา ซึ่งรวมถึงข้อมูลบัตรเครดิต หรือ บัตรเดบิต หมายเลขบัญชีธนาคาร หรือข้อมูลเกี่ยวกับธนาคาร หรือการชำระเงินอื่น ๆ รวมทั้งวันที่ และเวลาที่ชำระเงิน ทั้งนี้ขึ้นอยู่กับประเภทของการทำธุรกรรมของเจ้าของข้อมูลส่วนบุคคล

8.2.5 ข้อมูลจากการเข้าชม หรือใช้เว็บไซต์ของบริษัทฯ เว็บไซต์อื่น ๆ ของบริษัทย่อย หรือ แอปพลิเคชันของบริษัทฯ หรือที่บริษัทฯ เป็นผู้ดำเนินการ ข้อมูลการใช้ Social Media และการโต้ตอบกับโฆษณาออนไลน์ของบริษัทฯ รุ่น และประเภทของโปรแกรมคอมพิวเตอร์ที่ใช้เปิดเข้าชมเว็บไซต์ ประเภทของอุปกรณ์ที่ใช้เพื่อเข้าถึงการบริการ เช่น เครื่องคอมพิวเตอร์ส่วนบุคคล Laptop หรือสมาร์ทโฟน ข้อมูลประเภทระบบปฏิบัติการ และแพลตฟอร์ม ที่อยู่ IP address ของอุปกรณ์ หรือเครื่องมือปลายทาง ข้อมูล Location ข้อมูลเกี่ยวกับการบริการ และผลิตภัณฑ์ที่เจ้าของข้อมูลส่วนบุคคลเข้าชม หรือค้นหา

8.2.6 ข้อมูลจากบันทึกการติดต่อของเจ้าของข้อมูลส่วนบุคคลกับบริษัทฯ ซึ่งเก็บในรูปแบบของบันทึกข้อความของผู้รับบริการ การประเมินความพึงพอใจ การวิจัยและสถิติ หรือการบันทึกเสียงสนทนา หรือการบันทึกภาพผ่านกล้อง CCTV เมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อกับบริษัทฯ เช่น ศูนย์บริการลูกค้าของบริษัทฯ รวมไปถึงการให้ข้อมูลผ่านสื่อที่ทำการวิจัยต่าง ๆ อาทิ SMS Social Media แอปพลิเคชัน หรือ อีเมล เป็นต้น

8.2.7 ข้อมูลโปรไฟล์สื่อสังคมออนไลน์ เมื่อมีการใช้ข้อมูล และรหัสการเข้าสู่ระบบของสื่อสังคมออนไลน์ (Social Media Credential) เช่น Facebook, Twitter, Line เพื่อเชื่อมต่อ หรือเข้าสู่บริการ ใด ๆ ของบริษัทฯ เช่น บัญชีสื่อสังคมออนไลน์ (Social Media Account ID) สิ่งที่สนใจ (Interests) รายการที่ชอบ (Likes) และรายชื่อเพื่อนของเจ้าของข้อมูลส่วนบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลสามารถควบคุมการจัดเก็บความเป็นส่วนตัวนี้ ผ่านการตั้งค่าบัญชีสื่อสังคมออนไลน์ที่จัดทำไว้ให้โดยผู้ให้บริการสื่อสังคมออนไลน์ดังกล่าว

8.3 กรณีที่บริษัทฯ ให้บุคคล หรือองค์กรภายนอกบริษัทฯ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแทนบริษัทฯ (ผู้ประมวลผลข้อมูลส่วนบุคคล) ต้องใช้ผู้ประมวลผลข้อมูลส่วนบุคคลที่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม และเทียบเท่ามาตรฐานของบริษัทฯ ตามนโยบายความมั่นคงปลอดภัยในการบริหารจัดการผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ และต้องจัดให้มีข้อตกลงระหว่างกันเพื่อควบคุมการดำเนินงานของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายโดยกำหนดวัตถุประสงค์ หรือคำสั่งในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคลอย่างชัดเจน และกำหนดมาตรการป้องกันไม่ให้ผู้ประมวลผลข้อมูลส่วนบุคคลเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับจากบริษัทฯ นอกเหนือจากวัตถุประสงค์ หรือคำสั่งที่บริษัทฯ กำหนด

9. การส่ง หรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

ในกรณีที่บริษัทฯ มีการโอน ถ่าย และ/หรือส่งข้อมูลไปยังต่างประเทศ บริษัทฯ จะกำหนดมาตรฐานในการทำข้อตกลง และ/หรือสัญญาร่วมธุรกิจกับหน่วยงาน องค์กรที่จะได้รับข้อมูลส่วนบุคคลนั้นมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เป็นที่ยอมรับ และสอดคล้องกับกฎหมายที่เกี่ยวข้อง เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลนั้นจะได้รับการคุ้มครองอย่างปลอดภัย อาทิเช่น

9.1 กรณีที่บริษัทฯ มีความจำเป็นในการจัดเก็บ และ/หรือโอน ถ่ายข้อมูลส่วนบุคคลเพื่อการจัดเก็บ

9.2 การประมวลผลในระบบคลาวด์ (Cloud) บริษัทฯ จะพิจารณาองค์กรที่มีมาตรฐานความมั่นคงปลอดภัยในระดับสากล และจะจัดเก็บข้อมูลส่วนบุคคลในรูปแบบการเข้ารหัส หรือวิธีการอื่น ๆ ที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ เป็นต้น

อนึ่ง เจ้าของข้อมูลส่วนบุคคลสามารถตรวจสอบรายชื่อบุคคลภายนอกที่บริษัทฯ จะทำการเปิดเผยข้อมูลส่วนบุคคลได้จากเว็บไซต์ของบริษัทฯ ทั้งนี้รายชื่อบุคคลภายนอกที่บริษัทฯ จะทำการเปิดข้อมูลส่วนบุคคลนั้นอาจมีการเพิ่มขึ้น หรือลดลงได้ซึ่งบริษัทฯ จะทำข้อมูลให้เป็นปัจจุบันเสมอ

10. การรักษาความมั่นคงปลอดภัย และความลับของข้อมูลส่วนบุคคล

เพื่อให้เจ้าของข้อมูลส่วนบุคคลมีความมั่นใจในการบริหารจัดการของบริษัทฯ ในการป้องกันความเสี่ยงอันอาจทำให้ข้อมูลส่วนบุคคลถูกเข้าถึงโดยมิชอบ รั่วไหล ถูกเปลี่ยนแปลงแก้ไข สูญหาย บริษัทฯ ถือปฏิบัติตามนโยบายความมั่นคงปลอดภัยข้อมูลสารสนเทศ รวมทั้งปฏิบัติตามมาตรฐานสากลด้านการรักษาความปลอดภัยสารสนเทศที่เป็นที่ยอมรับ และการบริหารความต่อเนื่องทางธุรกิจ และเป็นไปตามที่กฎหมายกำหนด

บริษัทฯ มีมาตรการปกป้องความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล โดยการจำกัดสิทธิการเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล โดยจะกำหนดให้เฉพาะบุคคลที่จำเป็นต้องใช้ข้อมูลส่วนบุคคลดังกล่าว ในการนำเสนอผลิตภัณฑ์ และบริการของบริษัทฯ เพื่อการให้บริการของบริษัทฯ เช่น พนักงานบริษัทฯ ซึ่งเป็นบุคคลที่บริษัทฯ อนุญาตให้เข้าถึงข้อมูลส่วนบุคคลนั้น จะต้องยึดมั่น และปฏิบัติตามมาตรการการปกป้องข้อมูลส่วนบุคคลของบริษัทฯ อย่างเคร่งครัด ตลอดจนการรักษาความลับของข้อมูลส่วนบุคคลดังกล่าว โดยบริษัทฯ มีมาตรการป้องกันทั้งทางกายภาพ และทางอิเล็กทรอนิกส์เป็นไปตามมาตรฐานการกำกับดูแลที่บังคับใช้เพื่อปกป้องข้อมูลส่วนบุคคล

เมื่อบริษัทฯ ทำสัญญา หรือข้อตกลงกับบุคคลที่สาม บริษัทฯ จะกำหนดมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล การรักษาข้อมูลที่เป็นความลับที่เหมาะสม เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่บริษัทฯ ครอบครองจะความปลอดภัย

11. สิทธิของเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิดังต่อไปนี้

11.1 สิทธิในการขอรับทราบความมีอยู่ ลักษณะของข้อมูลส่วนบุคคล วัตถุประสงค์ของการนำข้อมูลส่วนบุคคลไปใช้ของบริษัทฯ

11.2 สิทธิในการเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคลของตน ซึ่งบริษัทฯ จะมีขั้นตอนที่เหมาะสมเพื่อให้ท่านยืนยันตัวตนกับทางบริษัทฯ ก่อน

11.3 สิทธิในการขอแก้ไข หรือเปลี่ยนแปลงข้อมูลส่วนบุคคลของตนให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

11.4 สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน รวมถึงสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล

11.5 สิทธิในการขอระงับการใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเป็นการชั่วคราว

11.6 สิทธิในการขอให้ดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลที่เกี่ยวกับตน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้

11.7 สิทธิในการขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่เกี่ยวกับตน ในกรณีที่เป็นข้อมูลซึ่งผู้ใช้บริการไม่ได้ให้ความยินยอมในการรวบรวม หรือจัดเก็บ

11.8 สิทธิในการถอนความยินยอมที่เคยให้แก่บริษัทฯ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว

ทั้งนี้ บริษัทฯ ได้กำหนดช่องทางการติดต่อเพื่อใช้สิทธิของท่านตามรายละเอียดในข้อ 18 โดยบริษัทฯ จะดำเนินการ และพิจารณาตามที่ท่านร้องขอภายในระยะเวลา 30 วัน นับตั้งแต่วันที่ได้รับคำร้อง อย่างไรก็ตามบริษัทฯ สามารถปฏิเสธการดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ตามที่กฎหมายกำหนด หรือตามสัญญาที่ทำไว้กับบริษัทฯ กรณีที่จะทำให้เจ้าของข้อมูลส่วนบุคคลเสียสิทธิประโยชน์ ต่าง ๆ

อนึ่ง การลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลของท่านอยู่ในรูปแบบที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ หรือการยกเลิกความยินยอมของเจ้าของข้อมูลส่วนบุคคลสามารถทำได้ภายใต้ข้อกำหนดของกฎหมาย และสัญญาที่ทำไว้กับบริษัทฯ เท่านั้น ทั้งนี้การใช้สิทธิดังกล่าวอาจจะส่งผลต่อกรณีการปฏิบัติตามสัญญาที่ทำไว้กับบริษัทฯ หรือกรณีการให้บริการอื่น ๆ เนื่องจากจะไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ จึงอาจเกิดข้อจำกัดในการให้บริการในบางส่วนที่จำเป็นต้องใช้ข้อมูลส่วนบุคคล และอาจทำให้เจ้าของข้อมูลส่วนบุคคลนั้นไม่ได้รับสิทธิประโยชน์การบริการ และข่าวสารจากบริษัทฯ ต่อไป

12. ระยะเวลาจัดเก็บ และสถานที่จัดเก็บข้อมูลส่วนบุคคล

บริษัทฯ จะจัดเก็บข้อมูลส่วนบุคคลตราบเท่าที่จำเป็น โดยคำนึงถึงวัตถุประสงค์ และความจำเป็นที่บริษัทฯ จะต้องดำเนินการจัดเก็บรวบรวม และประมวลผล ซึ่งรวมไปถึงการปฏิบัติตามข้อกำหนดของกฎหมายที่ใช้บังคับ บริษัทฯ จะจัดเก็บข้อมูลส่วนบุคคลไว้หลังระยะเวลาที่เจ้าของข้อมูลไม่มีปฏิสัมพันธ์กับบริษัทฯ ระยะเวลาหนึ่ง และสอดคล้องตามระยะเวลา และอายุความของกฎหมายที่เกี่ยวข้อง โดยบริษัทฯ จะจัดเก็บไว้ในสถานที่จัดเก็บที่เหมาะสมตามประเภทของข้อมูลส่วนบุคคล ทั้งนี้บริษัทฯ อาจจำเป็นต้องเก็บข้อมูลส่วนบุคคลต่อไปแม้จะพ้นกำหนดอายุความตามกฎหมายแล้วก็ตาม เช่น กรณีอยู่ระหว่างการดำเนินคดีตามกฎหมาย เป็นต้น

13. การใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด

นอกจากวัตถุประสงค์ดังกล่าวข้างต้น และภายใต้ข้อกำหนดของกฎหมาย บริษัทฯ จะใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด เช่น การจัดส่งเอกสารเกี่ยวกับโปรโมชั่นต่าง ๆ ทางไปรษณีย์ อีเมล และด้วยวิธีการอื่นใด รวมถึงการดำเนินการด้านการตลาดแบบตรง เพื่อเพิ่มสิทธิประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากการเป็นลูกค้าของบริษัทฯ ผ่านการแนะนำผลิตภัณฑ์ และบริการที่เกี่ยวข้อง

ท่านสามารถเลือกที่จะไม่รับการสื่อสารเพื่อวัตถุประสงค์ทางการตลาดจากบริษัทฯ ยกเว้นการติดต่อสื่อสารที่เกี่ยวข้องกับเจ้าของข้อมูล และ/หรือบริการที่บริษัทฯ ได้ให้แก่ท่าน เช่น ใบเสร็จรับเงิน เป็นต้น

14. คุกกี้

บริษัทฯ จะใช้คุกกี้ในการเก็บรวบรวมข้อมูลการใช้งานของเจ้าของข้อมูลส่วนบุคคลเพื่อเก็บข้อมูล และรวบรวมสถิติ วิจัย วิเคราะห์แนวโน้ม ตลอดจนนำมาปรับปรุง และควบคุมการทำงานของเว็บไซต์ และ/หรือแอปพลิเคชัน ทั้งนี้การเก็บคุกกี้นั้นเป็นข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้

15. การเชื่อมต่อไปยังเว็บไซต์ภายนอก

เว็บไซต์ของบริษัทฯ จะมีการเชื่อมต่อไปยังเว็บไซต์ของบุคคลที่สามซึ่งเว็บไซต์เหล่านั้นอาจมีนโยบายคุ้มครองข้อมูลส่วนบุคคลที่แตกต่างจากของบริษัทฯ ขอให้เจ้าของข้อมูลส่วนบุคคลศึกษานโยบายข้อมูลส่วนบุคคลของเว็บไซต์นั้น ๆ เพื่อเข้าใจถึงรายละเอียดการคุ้มครองข้อมูลส่วนบุคคล และเพื่อตัดสินใจในการเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้บริษัทฯ จะไม่รับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์ของบุคคลที่สาม

16. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

บริษัทฯ ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เพื่อตรวจสอบการดำเนินการที่เกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และนโยบาย ระเบียบ ประกาศ คำสั่ง ของบริษัทฯ รวมทั้งประสานงาน และให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

17. คำถามที่เกี่ยวกับนโยบายความเป็นส่วนตัว

หากท่านมีคำถาม หรือข้อสงสัยเกี่ยวกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ หรือการจัดการดูแลข้อมูลของท่าน ท่านสามารถติดต่อมายัง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เบอร์โทรศัพท์ 0-2242-4000 หรืออีเมล dpo@boonrawd.co.th

18. ช่องทางการติดต่อ

หากท่านมีข้อสงสัยเกี่ยวกับนโยบายความเป็นส่วนตัวของบริษัทฯ ข้อมูลที่ทางบริษัทฯ เก็บรวบรวม หรือต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างใดอย่างหนึ่งตามข้อ 11. ท่านสามารถติดต่อมายัง

ชื่อบริษัทฯ บริษัท บุญรอดบริวเวอรี่ จำกัด
ที่อยู่ 999 ถนนสามเสน แขวงถนนนครไชยศรี เขตดุสิต กรุงเทพมหานคร 10300
เว็บไซต์ของบริษัทฯ www.boonrawd.co.th
เบอร์โทรศัพท์ 0-2242-4000
อีเมล dpo@boonrawd.co.th

19. ติดต่อหน่วยงานผู้มีอำนาจ (Appropriate Authority)

หากท่านต้องการรายงานเรื่องร้องเรียน หรือหากท่านรู้สึกว่าบริษัทฯ ไม่ตอบข้อกังวลของท่านในลักษณะที่น่าพึงพอใจ ท่านสามารถติดต่อ และ/หรือร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ตามรายละเอียดด้านล่าง

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
อีเมล pdpc@mdes.go.th
เบอร์โทรศัพท์ 0-2142-1033

นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ มีผลใช้บังคับตั้งแต่วันประกาศเป็นต้นไป

ประกาศ ณ วันที่ 19 เดือน พฤศจิกายน พ.ศ.2563

นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) สำหรับผู้เข้าร่วมกิจกรรม หรือผู้เข้ามาติดต่อ

บริษัท บุญรอดบริวเวอรี่ จำกัด และบริษัทในเครือตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล เนื่องจากการคุ้มครองข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของการรับผิดชอบต่อสังคม และเป็นรากฐานในการสร้างความสัมพันธ์ทางธุรกิจที่น่าเชื่อถือระหว่างบริษัทฯ กับบุคคลภายนอก บริษัทฯ จึงยึดมั่นในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และกฎเกณฑ์ของราชการอื่น ๆ ที่เกี่ยวข้อง

บริษัทฯ เคารพสิทธิความเป็นส่วนตัวของผู้เข้าร่วมกิจกรรม หรือผู้เข้ามาติดต่อ (รวมเรียกว่า “ท่าน”) เพื่อให้เกิดความมั่นใจว่าท่านได้รับการคุ้มครองข้อมูลส่วนบุคคล บริษัทฯ จึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้นเพื่อแจ้งให้ทราบถึงวัตถุประสงค์ และรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนสิทธิของท่านตามกฎหมายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

1. นิยาม

บริษัทฯ หมายถึง บริษัท บุญรอดบริวเวอรี่ จำกัด และบริษัทในเครือ
บริษัทในเครือ หมายถึง บริษัทซึ่งมีรายชื่อตามลิงค์นี้ https://www.boonrawd.co.th
พนักงาน หมายถึง พนักงานของบริษัท บุญรอดบริวเวอรี่ จำกัด และบริษัทในเครือ
ผู้ดูแลระบบงาน หมายถึง หน่วยงาน หรือผู้ที่ได้รับมอบหมายจากเจ้าของระบบงาน หรือเจ้าของข้อมูลส่วนบุคคล ให้ทำหน้าที่รับผิดชอบดูแลระบบงานหนึ่ง ๆ
เจ้าของระบบงาน หมายถึง ผู้บริหารของฝ่ายงานทางธุรกิจ หรือผู้บริหารที่มีหน้าที่ และความรับผิดชอบต่อระบบงานหนึ่ง ๆ
ผู้เยาว์ หมายถึง บุคคลธรรมดาที่มีอายุยังไม่ครบยี่สิบปีบริบูรณ์ ยกเว้นบุคคลธรรมดาที่มีอายุยังไม่ครบยี่สิบปีบริบูรณ์แต่ได้ทำการสมรสตามกฎหมายอันมีผลให้เป็นผู้บรรลุนิติภาวะตามบทบัญญัติแห่งกฎหมาย
เจ้าของข้อมูลส่วนบุคคล หมายถึง บุคคลธรรมดาซึ่งสามารถถูกระบุตัวตนได้โดยข้อมูลส่วนบุคคลนั้น ๆ ไม่ว่าโดยทางตรง หรือทางอ้อม ซึ่งมีความหมายในลักษณะเป็นบุคคลที่ข้อมูลนั้นชี้บ่งไปถึง ไม่ใช่เป็นเจ้าของในลักษณะทรัพยสิทธิ หรือเป็นคนสร้างข้อมูลนั้นขึ้นมา
ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรง หรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล อีเมล รูป ลายนิ้วมือ รหัสประชาชน ซึ่งสามารถระบุตัวบุคคลได้ในทางตรง หรือการเก็บ Location หรือ Cookie ซึ่งทำให้สามารถระบุตัวบุคคลได้ในทางอ้อม นอกจากนี้รวมถึงข้อมูลที่โดยพื้นฐานแล้วไม่สามารถนำไประบุตัวบุคคลได้แต่เมื่อนำไปใช้ร่วมกับข้อมูลอื่นแล้วก่อให้เกิดชุดข้อมูลที่สามารถระบุข้อมูลส่วนบุคคลได้ เช่น ที่อยู่ เพศ และอายุ เมื่อนำมารวมกันสามารถนำไประบุตัวบุคคลได้ก็จะเกิดเป็นข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่กฎหมายกำหนด
ข้อมูลชีวภาพ หมายถึง ข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิค หรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพ หรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลจำลองภาพใบหน้า (Face Recognition) ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ
ข้อมูลสาธารณะ หมายถึง ข้อมูลส่วนบุคคลที่ได้เปิดเผยต่อสาธารณชน
ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง ผู้ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูล หมายถึง ผู้ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
การประมวลผลข้อมูล หมายถึง การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคลไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบจัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวาง หรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย
แอปพลิเคชัน หมายถึง โปรแกรม หรือชุดคำสั่งที่ใช้ควบคุมการทำงานของคอมพิวเตอร์เคลื่อนที่ และอุปกรณ์ต่อพ่วงต่าง ๆ เพื่อให้ทำงานตามคำสั่ง และตอบสนองความต้องการของผู้ใช้ โดยแอพพลิเคชั่น (Application) ต้องมีสิ่งที่เรียกว่าส่วนติดต่อกับผู้ใช้ (User Interface หรือ UI) เพื่อเป็นตัวกลางการใช้งานต่าง ๆ
คุกกี้ (Cookie) หมายถึง ข้อมูลขนาดเล็กที่เว็บไซต์ของบริษัทฯ ส่งไปยังคอมพิวเตอร์ หรืออุปกรณ์อิเล็กทรอนิกส์ที่เชื่อมต่ออินเทอร์เน็ตเพื่อเก็บข้อมูลส่วนบุคคล โดยคุกกี้จะถูกส่งกลับไปที่เว็บไซต์ต้นทางในแต่ละครั้งที่กลับเข้ามาดูที่เว็บไซต์ดังกล่าว
ข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ หมายถึง ข้อมูลที่ผ่านกระบวนการจัดทำข้อมูลนิรนามแล้ว

2.ข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวม ใช้ และเปิดเผย

2.1 ข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวม ใช้ และเปิดเผย ได้แก่

2.1.1 เมื่อท่านเข้าร่วมกิจกรรมใดๆ ของบริษัทฯ ไม่ว่ากิจกรรมดังกล่าวจะจัดโดยบริษัทฯ หรือบุคคลที่บริษัทฯ ว่าจ้าง หรือเป็นกิจกรรมที่บริษัทฯ มีส่วนร่วมในการจัด บริษัทฯ จะจัดเก็บข้อมูลส่วนบุคคลเมื่อท่านเข้าร่วมกิจกรรมของบริษัทฯ หรือเมื่อท่านเข้ามาในบริเวณพื้นที่จัดกิจกรรม หรือพื้นที่ของบริษัทฯ ข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวม เช่น

(ก) ข้อมูลสำหรับการลงทะเบียน และการเข้าร่วมกิจกรรม เช่น ชื่อ นามสกุล อายุ ที่อยู่ เบอร์โทรศัพท์ อีเมล แชทออนไลน์ โซเชียลมีเดีย

(ข) ภาพและเสียง รูปถ่าย และภาพเคลื่อนไหว

(ค) กิจกรรม หรือเหตุการณ์ที่ท่านเคยเข้าร่วมในอดีต หรือที่เคยลงทะเบียนไว้

(ง) รายละเอียดการชำระเงิน และธุรกรรมทางการเงินของท่านที่เกี่ยวข้องกับกิจกรรม

(จ) รายละเอียดของบุคคลที่ท่านอ้างถึง และรายละเอียดของผู้ที่บริษัทฯ สามารถติดต่อได้ในกรณีฉุกเฉิน ทั้งนี้ก่อนการให้ข้อมูลกับบริษัทฯ ให้ท่านแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ให้บุคคลดังกล่าวทราบด้วย

2.1.2 เมื่อท่านเป็นบุคคลทั่วไปที่เข้ามาบริเวณพื้นที่ของบริษัทฯ บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคลโดย

(ก) เมื่อท่านเข้ามาในพื้นที่ของบริษัทฯ จะมีการเก็บภาพจากกล้องโทรทัศน์วงจรปิด (“กล้อง CCTV”) ของบริษัทฯ โดยไม่ได้เก็บข้อมูลเสียงผ่านทางกล้อง CCTV อย่างไรก็ดีบริษัทฯ จะติดป้ายให้ทราบว่ามีการใช้กล้อง CCTV ในบริเวณพื้นที่ของบริษัทฯ

(ข) บันทึกของผู้มาติดต่อ (visitor records)

- ข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวม เช่น ชื่อ นามสกุล เบอร์โทรศัพท์ อีเมล ข้อมูลตามบัตรประจำตัวประชาชน หรือหลักฐานอื่นทำนองเดียวกัน
- เมื่อท่านเข้ามาภายในบริเวณบริษัทฯ ด้วยยานพาหนะ บริษัทฯ จะเก็บหมายเลขทะเบียนยานพาหนะ

(ค) เมื่อท่านใช้บริการ Wi-Fi ของบริษัทฯ ท่านต้องทำการลงทะเบียนเข้าใช้งานตามข้อกำหนดการใช้งานของบริษัทฯ โดยข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวมเพื่อดำเนินการให้บริการ Wi-Fi แก่ท่าน เช่น ชื่อ นามสกุล เบอร์โทรศัพท์ อีเมล

2.2 ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)

2.2.1 บริษัทฯ อาจมีความจำเป็นต้องเก็บรวบรวม และประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวของท่านเพื่อใช้งานตามวัตถุประสงค์ที่แจ้งไว้ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้

2.2.2 บริษัทฯ อาจต้องประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวของท่าน ในกรณีดังต่อไปนี้

(ก) ข้อมูลสุขภาพ เช่น น้ำหนัก ส่วนสูง โรคประจำตัว ข้อมูลการแพ้อาหาร ข้อมูลการแพ้ยา หมู่โลหิต ใบรับรองแพทย์ ประวัติการรักษาพยาบาล ประวัติการจ่ายยา เพื่อประโยชน์ในการเข้าร่วมกิจกรรมของบริษัทฯ หรือการเข้ามาในพื้นที่ของบริษัทฯ รวมถึงการปฏิบัติตามกฎหมายที่เกี่ยวข้อง หรือเพื่อการบริหารจัดการที่เหมาะสมอื่นๆ

(ข) ข้อมูลชีวภาพเพื่อใช้ในการระบุ และยืนยันตัวตนของท่าน การป้องกันอาชญากรรม และการรักษาประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ หรือของบุคคลอื่น

(ค) ความเชื่อในลัทธิศาสนา ปรัชญา เชื้อชาติ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ เพื่อประกอบการจัดให้มีสิ่งอำนวยความสะดวก กิจกรรมที่เหมาะสม

(ง) ข้อมูลส่วนบุคคลที่มีความอ่อนไหวอื่นๆ ตามวัตถุประสงค์อันชอบด้วยกฎหมาย เช่น เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลในกรณีที่ท่านไม่สามารถให้ความยินยอมได้ เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของท่านเพื่อใช้สิทธิเรียกร้องตามกฎหมาย

2.2.3 ในกรณีที่จำเป็น บริษัทฯ จะประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวของท่าน รวมทั้งการส่ง หรือโอนข้อมูลส่วนบุคคลที่มีความอ่อนไหวของท่านไปต่างประเทศต่อเมื่อได้รับความยินยอมโดยชัดแจ้งจากท่าน หรือเพื่อวัตถุประสงค์อื่นตามที่กฎหมายกำหนดไว้เท่านั้น ทั้งนี้บริษัทฯ จะใช้ความพยายามอย่างดีที่สุดในการจัดให้มีมาตรการรักษาความปลอดภัยที่เพียงพอเพื่อปกป้องคุ้มครองข้อมูลส่วนบุคคลที่มีความอ่อนไหวของท่าน

ซึ่งต่อไปในนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ หากไม่กล่าวโดยเฉพาะเจาะจงจะเรียกข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลที่มีความอ่อนไหวที่เกี่ยวกับท่านข้างต้นรวมกันว่า “ข้อมูลส่วนบุคคล”

3. วัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล

3.1 เพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญา หรือเพื่อปฏิบัติตามสัญญาซึ่งท่านเป็นคู่สัญญากับบริษัทฯ เช่น เมื่อท่านเข้าร่วมกิจกรรมใดๆ ของบริษัทฯ หรือเข้ามาติดต่อในพื้นที่ของ บริษัทฯ เพื่อดำเนินการใด ๆ

3.2 เพื่อให้บริษัทฯ สามารถปฏิบัติหน้าที่ตามกฎหมายที่กำหนด เช่น การปฏิบัติตามบทบัญญัติของกฎหมาย กฎระเบียบ และคำสั่งของผู้ที่มีอำนาจตามกฎหมาย

3.3 เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ หรือของบุคคล หรือนิติบุคคลอื่นโดยไม่เกินขอบเขตที่ท่านสามารถคาดหมายได้อย่างสมเหตุสมผล หรือเพื่อวัตถุประสงค์อื่น ๆ ตามที่กฎหมายอนุญาตให้ทำได้ เช่น การบันทึกเสียง การบันทึกภาพนิ่ง การบันทึกภาพเคลื่อนไหวกล้อง CCTV การยืนยันตัวตน การตรวจสอบความถูกต้องของข้อมูลที่ได้รับจากท่าน การวิเคราะห์ และจัดทำฐานข้อมูล การบริหารจัดการ และปรับปรุง การใช้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อวัตถุประสงค์ในการควบคุมการเข้าออกอาคารสถานที่ บริเวณภายในพื้นที่ และระบบสารสนเทศ อินเตอร์เน็ตของบริษัทฯ เพื่อประโยชน์ในการรักษาความปลอดภัย การป้องกัน และตรวจจับอาชญากรรมเป็นหลักฐานในการสืบสวน สอบสวนทั้งกรณีมาตรการภายในบริษัทฯ หรือการดำเนินการของเจ้าพนักงานที่เกี่ยวข้องกับกระบวนการทางกฎหมาย

3.4 เพื่อบรรลุวัตถุประสงค์ตามความยินยอมที่ท่านได้ให้ไว้ และหากท่านเป็นผู้เยาว์ ก่อนให้ความยินยอมแก่บริษัทฯ โปรดแจ้งรายละเอียดผู้ใช้อำนาจปกครองให้บริษัทฯ ทราบ เพื่อให้บริษัทฯ สามารถดำเนินการขอความยินยอมจากผู้ใช้อำนาจปกครองของท่านด้วย

3.5 เพื่อป้องกัน และระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่าน หรือบุคคลอื่น เช่น การติดต่อในกรณีฉุกเฉิน การควบคุม และการป้องกันโรค

3.6 เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัทฯ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัทฯ

4. การเปิดเผยข้อมูลส่วนบุคคล

บริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้อื่นภายใต้ความยินยอมของท่าน หรือฐานทางกฎหมายอื่นตามวัตถุประสงค์ที่ระบุไว้ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ เช่น ผู้ประมวลผลข้อมูลส่วนบุคคล ผู้ให้บริการภายนอกทั้งในประเทศ และต่างประเทศด้านการรักษาความปลอดภัย การตรวจสอบประวัติ การจัดทำโปรแกรม ระบบสารสนเทศ ผู้ให้บริการกล้อง CCTV ผู้จัดงาน จัดกิจกรรม ตัวแทนของบริษัทฯ ผู้รับจ้างช่วงงานต่อ ผู้มีอำนาจตามกฎหมาย นิติบุคคล หรือบุคคลใด ๆ ที่มีความสัมพันธ์ หรือมีสัญญาอยู่กับบริษัทฯ บุคคลอื่นที่จำเป็นเพื่อให้บริษัทฯ สามารถดำเนินธุรกิจ หรือให้บริการแก่ท่าน ซึ่งรวมตลอดถึงผู้บริหาร พนักงาน ลูกจ้าง ผู้รับจ้าง ตัวแทน ที่ปรึกษาของบริษัทฯ และของบุคคล หรือหน่วยงานที่เป็นผู้รับข้อมูลดังกล่าว

บริษัทฯ จะกำหนดให้ผู้รับข้อมูลส่วนบุคคลของท่านมีมาตรการปกป้องข้อมูลส่วนบุคคลของท่านอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ

5. การส่ง หรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

บริษัทฯ มีการดำเนินธุรกิจในหลายประเทศ บริษัทฯ จึงอาจมีความจำเป็นต้องส่ง หรือโอนข้อมูลส่วนบุคคลของท่านไปยังบริษัทในเครือกิจการ หรือธุรกิจเดียวกันที่อยู่ต่างประเทศ หรือไปยังผู้รับข้อมูลอื่นซึ่งเป็นส่วนหนึ่งของการดำเนินธุรกิจตามปกติของบริษัทฯ เช่น การส่ง หรือโอนข้อมูลส่วนบุคคลไปเก็บไว้บน Server, Cloud ในประเทศต่าง ๆ

กรณีที่ประเทศปลายทางมีมาตรฐานไม่เพียงพอ บริษัทฯ จะดูแลการส่ง หรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามกรณีที่กฎหมายกำหนด และจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคล และมาตรการเยียวยาตามที่เห็นว่าจำเป็นและเหมาะสมสอดคล้องกับมาตรฐานการรักษาความลับตามที่กฎหมายประเทศนั้นกำหนด เช่น กำหนดให้ผู้รับข้อมูลมีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเทียบเท่ากับมาตรการของบริษัทฯ มีข้อตกลงรักษาความลับกับผู้รับข้อมูลในประเทศดังกล่าว หรือในกรณีที่ผู้รับข้อมูลเป็นบริษัทในเครือกิจการ หรือธุรกิจเดียวกัน บริษัทฯ อาจเลือกใช้วิธีการดำเนินการให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบ และรับรองจากผู้มีอำนาจตามกฎหมายที่เกี่ยวข้อง และจะดำเนินการให้การส่ง หรือโอนข้อมูลส่วนบุคคลไปยังบริษัทในเครือกิจการ หรือธุรกิจเดียวกันที่อยู่ต่างประเทศเป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวแทนการดำเนินการตามที่กฎหมายกำหนดไว้ก็ได้

6. ระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล

6.1 บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลของท่านในระยะเวลาที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ตามประเภทข้อมูลส่วนบุคคลแต่ละประเภท ซึ่งอาจจำเป็นต้องเก็บรักษาไว้ต่อไปภายหลังจากนั้นหากมีกฎหมายกำหนด หรืออนุญาตไว้ หรือตามความยินยอมที่ท่านได้ให้ไว้

6.2 ในกรณีกล้อง CCTV บริษัทฯ จัดเก็บข้อมูล ดังนี้

6.2.1 ในสถานการณ์ปกติ ข้อมูลส่วนบุคคลของท่านอาจถูกเก็บไว้นานถึง 30 วัน

6.2.2 ในกรณีจำเป็น เช่น ต้องใช้เป็นหลักฐานในการสืบสวน สอบสวน ดำเนินคดี หรือกรณีที่เจ้าของส่วนบุคคลร้องขอ ข้อมูลส่วนบุคคลของท่านอาจถูกเก็บไว้เกินกว่า 30 วัน และบริษัทฯ จะดำเนินการลบข้อมูลส่วนบุคคลอย่างปลอดภัยเมื่อเสร็จสิ้นวัตถุประสงค์ดังกล่าวแล้ว

6.3 กรณีที่บริษัทฯ ใช้ข้อมูลส่วนบุคคลของท่านโดยขอความยินยอมจากท่าน บริษัทฯ จะประมวลผลข้อมูลส่วนบุคคลดังกล่าวจนกว่าท่านจะแจ้งขอยกเลิกความยินยอม และบริษัทฯ ได้ดำเนินการตามคำขอของท่านเสร็จสิ้นแล้ว อย่างไรก็ดีบริษัทฯ จะยังเก็บข้อมูลส่วนบุคคลของท่านเท่าที่จำเป็นสำหรับบันทึกเป็นประวัติว่าท่านเคยยกเลิกความยินยอมเพื่อให้บริษัทฯ สามารถตอบสนองต่อคำขอของท่านในอนาคตได้

6.4 บริษัทฯ จะลบ หรือทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุถึงตัวตนของท่านได้ เมื่อหมดความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวม หรือสิ้นสุดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลนั้น

7. การคุ้มครองข้อมูลส่วนบุคคล

บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เป็นอย่างดีตามมาตรการเชิงเทคนิค (Technical Measure) และมาตรการเชิงบริหารจัดการ (Organizational Measure) เพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลข้อมูลส่วนบุคคลที่เหมาะสม และเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล โดยบริษัทฯ ได้กำหนดนโยบาย ระเบียบ และหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคล เช่น มาตรฐานความปลอดภัยของระบบเทคโนโลยีสารสนเทศ และมาตรการเพื่อป้องกันไม่ให้ผู้รับข้อมูลไปจากบริษัทฯ ใช้ หรือเปิดเผยข้อมูลนอกวัตถุประสงค์ หรือโดยไม่มีอำนาจ หรือโดยไม่ชอบ และบริษัทฯ ได้มีการปรับปรุงนโยบาย ระเบียบ และหลักเกณฑ์ดังกล่าวเป็นระยะ ๆ ตามความจำเป็น และเหมาะสม

นอกจากนี้บริษัทฯ ยังได้กำหนดให้พนักงาน บุคลากร ตัวแทน และผู้รับข้อมูลจากบริษัทฯ มีหน้าที่รักษาข้อมูลส่วนบุคคลของท่านไว้เป็นความลับ และมีความปลอดภัยตามมาตรการที่บริษัทฯ กำหนดเมื่อต้องมีการดำเนินการใด ๆ กับข้อมูลส่วนบุคคลของท่าน

8. สิทธิของเจ้าของข้อมูลส่วนบุคคล

8.1 สิทธิขอถอนความยินยอม

หากท่านได้ให้ความยินยอมให้บริษัทฯ เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลท่าน ท่านมีสิทธิที่จะถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของท่านอยู่กับบริษัทฯ เว้นแต่มีข้อจำกัดสิทธินั้นโดยกฎหมาย หรือมีสัญญาที่ให้ประโยชน์แก่ท่านอยู่ ทั้งนี้ การถอนความยินยอมดังกล่าวอาจส่งผลกระทบต่อท่าน ดังนั้นเพื่อประโยชน์ของท่านจึงควรศึกษา และสอบถามถึงผลกระทบที่อาจเกิดขึ้นก่อนเพิกถอนความยินยอม

ในกรณีที่บริษัทฯ จำเป็นต้องได้รับความยินยอมจากบุคคลอื่น ท่านให้คำรับรองว่าท่านมีอำนาจกระทำการแทนเจ้าของข้อมูลส่วนบุคคลในการรับทราบนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และในการให้ความยินยอมแก่บริษัทฯ ในการประมวลผลข้อมูลส่วนบุคคล

8.2 สิทธิขอเข้าถึงข้อมูล

ท่านมีสิทธิขอเข้าถึงข้อมูลส่วนบุคคลของท่านที่อยู่ในความรับผิดชอบของบริษัทฯ และขอให้บริษัทฯ ทำสำเนาข้อมูลดังกล่าวให้แก่ท่าน รวมถึงขอให้บริษัทฯ เปิดเผยว่าข้อมูลส่วนบุคคลของท่านนั้นได้มาอย่างไรโดยปราศจากความยินยอมของท่าน

8.3 สิทธิขอถ่ายโอนข้อมูล

ท่านมีสิทธิขอรับข้อมูลส่วนบุคคลของท่านในกรณีที่บริษัทฯ ได้ทำให้ข้อมูลนั้นอยู่ในรูปแบบที่สามารถอ่าน หรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือ หรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และสามารถใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิขอให้บริษัทฯ ส่ง หรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และมีสิทธิขอรับข้อมูลส่วนบุคคลที่บริษัทฯ ส่ง หรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่ไม่สามารถดำเนินการได้เพราะเหตุทางเทคนิค

8.4 สิทธิขอคัดค้าน

ท่านมีสิทธิขอคัดค้านในเวลาใดก็ได้ หากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่านที่ทำขึ้นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ หรือของบุคคลอื่น หรือเพื่อดำเนินการตามภารกิจเพื่อสาธารณประโยชน์ หากท่านยื่นคัดค้าน บริษัทฯ จะยังคงดำเนินการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่านต่อไปเฉพาะที่บริษัทฯ สามารถแสดงเหตุผลตามกฎหมายได้ว่ามีความสำคัญยิ่งกว่าสิทธิขั้นพื้นฐานของท่าน หรือเป็นไปเพื่อการยืนยันการปฏิบัติตามกฎหมาย หรือการต่อสู้ในการฟ้องร้องตามกฎหมายตามแต่ละกรณี

8.5 สิทธิขอให้ลบ หรือทำลายข้อมูล

ท่านมีสิทธิขอลบ หรือทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ หากท่านเชื่อว่าข้อมูลส่วนบุคคลของท่านถูกเก็บรวบรวม ใช้ และเปิดเผยโดยไม่ชอบด้วยกฎหมายที่เกี่ยวข้อง หรือเห็นว่าบริษัทฯ หมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่เกี่ยวข้องในนโยบายฉบับนี้ หรือเมื่อท่านได้ใช้สิทธิขอถอนความยินยอม หรือใช้สิทธิขอคัดค้านตามที่แจ้งไว้ข้างต้นแล้ว

8.6 สิทธิขอให้ระงับการใช้ข้อมูล

ท่านมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลชั่วคราวในกรณีที่บริษัทฯ อยู่ระหว่างตรวจสอบตามคำร้องขอใช้สิทธิขอแก้ไขข้อมูลส่วนบุคคล หรือขอคัดค้านของท่าน หรือกรณีอื่นใดที่บริษัทฯ หมดความจำเป็น และต้องลบ หรือทำลายข้อมูลส่วนบุคคลของท่านตามกฎหมายที่เกี่ยวข้อง แต่ท่านขอให้บริษัทฯ ระงับการใช้แทน

8.6 สิทธิขอให้แก้ไขข้อมูล

ท่านมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

8.7 สิทธิร้องเรียน

สิทธิร้องเรียน ท่านมีสิทธิร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่านเป็นการกระทำในลักษณะที่ฝ่าฝืน หรือไม่ปฏิบัติตามกฎหมายที่เกี่ยวข้อง

8.9 การใช้สิทธิ

การใช้สิทธิของท่านดังกล่าวข้างต้นสามารถทำได้โดยกรอกแบบฟอร์มคำร้องขอใช้สิทธิ และยื่นคำร้องต่อ บริษัทฯ อย่างไรก็ตามการใช้สิทธิของท่านอาจถูกจำกัดภายใต้กฎหมายที่เกี่ยวข้อง และมีบางกรณีที่มีเหตุจำเป็นที่บริษัทฯ อาจปฏิเสธ หรือไม่สามารถดำเนินการตามคำขอใช้สิทธิข้างต้นได้ เช่น ต้องปฏิบัติตามกฎหมาย หรือคำสั่งศาล เพื่อประโยชน์สาธารณะ การใช้สิทธิอาจละเมิดสิทธิ หรือเสรีภาพของบุคคลอื่น เป็นต้น โดยหากบริษัทฯ ปฏิเสธคำขอข้างต้น บริษัทฯ จะแจ้งเหตุผลของการปฏิเสธให้ท่านทราบด้วย (โดยท่านเริ่มใช้สิทธิได้เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้กับผู้ควบคุมข้อมูลส่วนบุคคล)

ระยะเวลาดำเนินการในการใช้สิทธิประเภทต่าง ๆ โดยเริ่มนับระยะเวลาตั้งแต่วันที่บริษัทฯ ได้รับคำร้องขอ

สิทธิ ระยะเวลาดำเนินการ
สิทธิขอถอนความยินยอม 7 วัน
สิทธิขอเข้าถึงข้อมูล 30 วัน
สิทธิขอถ่ายโอนข้อมูล 30 วัน
สิทธิขอคัดค้าน 30 วัน
สิทธิขอให้ลบหรือทำลายข้อมูล 30 วัน
สิทธิขอให้ระงับการใช้ข้อมูล 30 วัน
สิทธิขอให้แก้ไขข้อมูล 1 วัน

9. การติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

หากท่านมีข้อเสนอแนะ หรือต้องการสอบถามข้อมูลเกี่ยวกับรายละเอียดการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่าน รวมถึงการขอใช้สิทธิตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ สามารถติดต่อบริษัทฯ หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ผ่านช่องทางดังนี้

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เบอร์โทรศัพท์ 0-2242-4000 หรืออีเมล dpo@boonrawd.co.th

นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ มีผลใช้บังคับตั้งแต่วันประกาศเป็นต้นไป

ประกาศ ณ วันที่ 19 เดือน พฤศจิกายน พ.ศ.2563