นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

เนื่องด้วยบริษัท ริโก้ (ประเทศไทย) จำกัด และบริษัทในเครือ (เรียกรวมว่า "บริษัท") ตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคลที่เจ้าของข้อมูลได้มอบไว้ให้แก่บริษัท และการปฏิบัติตามพระราช บัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  ดังนั้น บริษัทจึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ขึ้น (“นโยบาย”) เพื่อกำหนดแนวทางและหลักปฏิบัติในการดำเนินการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

ขอบเขตการใช้บังคับ

นโยบายนี้มีผลบังคับใช้กับคณะกรรมการ กรรมการ ผู้บริหาร พนักงาน ลูกจ้าง นักศึกษาฝึกงาน คู่สัญญา หน่วยงานภายนอกหรือบุคคลภายนอกที่ปฏิบัติงานในนามหรือร่วมงานกับบริษัท รวมถึงบุคคลใดๆ ซึ่งล่วงรู้ข้อมูลส่วนบุคคลเนื่องจากเกี่ยวข้องกับการดำเนินงานของบริษัท ซึ่งจะต้องปฏิบัติตามนโยบายฉบับนี้และตามหลักเกณฑ์ที่กฎหมายกำหนด 

บริษัทมุ่งหวังให้ผู้ที่ต้องปฏิบัติตามนโยบายนี้ ได้มีการทำความเข้าใจหลักการและแนวทางที่กำหนดนโยบายนี้ และพึงยึดถือปฏิบัติอย่างเคร่งครัด หากมีผู้ที่ปฏิบัติฝ่าฝืนนโยบาย รวมถึงแนวปฏิบัติต่างๆ ภายใต้นโยบายนี้ บริษัทจะพิจารณาดำเนินมาตรการที่จำเป็นเพื่อลงโทษผู้ที่ฝ่าฝืนนั้น

วัตถุประสงค์

1. เพื่อให้การดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัทเป็นไปตามข้อกำหนดของกฎหมาย 
2. เพื่อเป็นแนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคคลที่บริษัทมีการเก็บรวบรวมและประมวลผล ให้กับพนักงานและผู้ที่มีส่วนเข้าไปเกี่ยวข้องกับข้อมูลส่วนบุคคลดังกล่าวได้ยึดถือปฏิบัติโดยเคร่งครัด 
3. เพื่อให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าข้อมูลส่วนบุคคลที่บริษัทมีการเก็บรวบรวมไว้จะได้รับการปกป้องดูแลและนำไปประมวลผลอย่างเหมาะสม โปร่งใส และเป็นไปตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

คำนิยาม

“ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือนิติบุคคลอื่นซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลที่ดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
“ข้อมูลส่วนบุคคล” (Personal Data)  หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลลักษณะพิเศษหรืออ่อนไหว” (Sensitive Personal Data) หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
“คุกกี้” (Cookies) หมายความว่า ไฟล์คอมพิวเตอร์ขนาดเล็ก ที่จะเก็บข้อมูลส่วนบุคคลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของเจ้าของข้อมูลส่วนบุคคล เพื่อความสะดวกและรวดเร็วในการติดต่อสื่อสารซึ่งจะมีผลในขณะที่เข้าใช้งานระบบเว็บไซต์เท่านั้น
“เจ้าของข้อมูลส่วนบุคคล” (Data Subject) หมายความว่า บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล
“การประมวลผล” (Processing) หมายความว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
“กฎหมายคุ้มครองข้อมูลส่วนบุคคล” (Personal Data Protection Law)  หมายความว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้องทั้งหมด

หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะประมวลผลข้อมูลส่วนบุคคล โดยอยู่บนพื้นฐานหลักการสำคัญดังต่อไปนี้

1. การประมวลผลข้อมูลส่วนบุคคลต้องเป็นไปโดยชอบด้วยกฎหมาย เป็นธรรม และมีความโปร่งใส ต่อเจ้าของข้อมูลส่วนบุคคล (Lawfulness, Fairness and Transparency) 
2. การประมวลผลข้อมูลส่วนบุคคลจะดำเนินการภายในขอบเขตวัตถุประสงค์ที่บริษัทกำหนด โดยเป็นวัตถุประสงค์ที่มีความแจ้งชัด และมีผลบังคับตามกฎหมาย และจะไม่มีการประมวลผลข้อมูลไปในทางที่ไม่สอดคล้องหรือไม่เป็นไปตามวัตถุประสงค์ดังกล่าว (Purpose Limitation)
3. การประมวลผลข้อมูลส่วนบุคคล ต้องเป็นไปเท่าที่เพียงพอ มีความเกี่ยวข้อง และจำเป็น ต่อวัตถุประสงค์ของการประมวลผลข้อมูลดังกล่าว (Data Minimization)
4. การประมวลผลข้อมูลส่วนบุคคล ต้องเป็นการดำเนินการที่ถูกต้อง และต้องทำให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น โดยจะมีการดำเนินการตามขั้นตอนที่เหมาะสมเพื่อให้แน่ใจว่าข้อมูลที่ไม่ถูกต้องดังกล่าวได้รับการปรับปรุงแก้ไข (Accuracy)
5. การจัดเก็บข้อมูลส่วนบุคคลต้องเป็นไปตามระยะเวลาเท่าที่จำเป็นต่อการประมวลผลข้อมูลนั้น (Storage Limitation) เว้นแต่กรณีมีกฎหมายกำหนดไว้ให้บริษัทมีหน้าที่ต้องจัดเก็บข้อมูลส่วนบุคคลไว้นานกว่าระยะเวลาเท่าที่จำเป็นดังกล่าว 
6. การประมวลผลข้อมูลส่วนบุคคลต้องมีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม รวมถึงมีการป้องกันการประมวลผลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย และป้องกันการสูญหายโดยอุบัติเหตุ การถูกทำลาย หรือถูกทำให้เสียหาย (Integrity and Confidentiality)
7. การเคารพสิทธิของเจ้าของข้อมูลส่วนบุคคล (Respecting Data Subject Rights) จัดให้มีมาตรการและขั้นตอนที่ชัดเจน เพื่อให้เจ้าของข้อมูลสามารถใช้สิทธิของตนตามที่กฎหมายกำหนดได้ เช่น สิทธิในการเข้าถึง แก้ไข ลบ ระงับการใช้ โอนย้าย ถอนความยินยอม หรือคัดค้านการประมวลผล โดยบริษัทจะตอบสนองต่อการใช้สิทธิดังกล่าวภายในระยะเวลาที่เหมาะสมและตามที่กฎหมายกำหนด
8. การเปิดเผยและการโอนข้อมูลส่วนบุคคล (Data Sharing and Transfer) ในกรณีที่บริษัทจำเป็นต้องเปิดเผยหรือโอนข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก หรือโอนข้อมูลไปยังต่างประเทศ บริษัทจะดำเนินการตามมาตรการคุ้มครองข้อมูลที่เหมาะสม และตรวจสอบให้มั่นใจว่าผู้รับข้อมูลมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เพียงพอ รวมถึงการปฏิบัติตามกฎหมายที่เกี่ยวข้อง

การปฏิบัติให้สอดคล้องตามหลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล

บริษัทให้ความสำคัญอย่างยิ่งกับการคุ้มครองข้อมูลส่วนบุคคล โดยมีการกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด รวมถึงมีการกำหนดมาตรการควบคุมภายใน จัดทำแนวทางปฏิบัติ คู่มือที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้การดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพ สอดคล้องตามหลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล และพนักงานของบริษัทมีการปฏิบัติตามกฎหมาย นโยบายและแนวปฏิบัติอย่างเคร่งครัด 

บริษัทมีแนวทางการดำเนินงานเพื่อให้มั่นใจได้ว่า หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคลตามข้อ 4. จะมีการนำไปสู่การปฏิบัติจริงได้ โดย

1. นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ได้รับอนุมัติจากผู้มีอำนาจ และจัดให้มีการประกาศและสื่อสารไปยังพนักงานและหน่วยงานที่เกี่ยวข้อง และกำหนดให้มีการทบทวนและปรับปรุงนโยบายฉบับนี้ให้เป็นปัจจุบันอย่างสม่ำเสมอ
2. ให้มีการอบรมให้ความรู้ สร้างความตระหนักและความเข้าใจกับพนักงานของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล 
3. การประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจะต้องเป็นไปตามกฎหมาย มีความเป็นธรรม โปร่งใส รวมทั้งต้องประมวลผลข้อมูลส่วนบุคคลอย่างจำกัด และสอดคล้องตามวัตถุประสงค์ที่กำหนด
4. การเก็บรวบรวมข้อมูลส่วนบุคคล จะต้องพอเหมาะเป็นไปตามวัตถุประสงค์ที่กำหนด เป็นไปตามฐานในการประมวลผลข้อมูลส่วนบุคคล
5. บริษัทฯ อนุญาตให้จัดเก็บข้อมูลส่วนบุคคลภายในระยะเวลาที่บริษัทกำหนด/กฎหมายกำหนดเท่านั้น ข้อมูลส่วนบุคคลที่มีการจัดเก็บเกินระยะเวลาที่กำหนด ผู้รับผิดชอบจะต้องมีการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
6. การประมวลผลข้อมูลส่วนบุคคลจะต้องคำนึงถึงความมั่นคงปลอดภัยสารสนเทศ ซึ่งรวมถึงการป้องกันการประมวลผลข้อมูลส่วนบุคคลโดยผู้ที่ไม่มีสิทธิ การลบหรือทำลายข้อมูลทั้งโดยความตั้งใจ และไม่ตั้งใจ และรวมถึงการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศให้อยู่ในระดับที่องค์กรยอมรับได้
7. ให้มีการตรวจประเมิน (Audit) กระบวนการที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลอย่างสม่ำเสมอ
8. ในกรณีที่ต้องมีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล การขอความยินยอมดังกล่าวต้องชัดแจ้ง มีการใช้ถ้อยคำที่ชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย
9. ให้มีการกำหนดวิธีการ ช่องทาง และผู้รับผิดชอบในการรับเรื่องร้องเรียน คำร้อง และดำเนินการใดๆ เกี่ยวกับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล 
10. ให้มีการกำหนดกระบวนการ และผู้รับผิดชอบในการดำเนินการเกี่ยวกับการตรวจสอบ การสืบสวนสอบสวน และการจัดทำรายงานภายในบริษัท กรณีมีเหตุละเมิดข้อมูลส่วนบุคคล
11. ให้มีการบันทึกรายการตามมาตรา 39 กฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตรวจสอบได้ เช่น ข้อมูลส่วนบุคคลที่มีการเก็บ
    รวบรวม ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูล เป็นต้น และให้มีการทบทวน ตรวจสอบรายการบันทึกดังกล่าวอย่างสม่ำเสมอ
12. ให้มีการจัดทำข้อตกลงหรือสัญญาการประมวลผลข้อมูลส่วนบุคคล กรณีที่บริษัทมีการว่าจ้างหรือมอบหมายให้บุคคลภายนอกมาดำเนินการประมวลผลข้อมูลส่วนบุคคลของบริษัท
13. ให้มีการกำหนดมาตรการภายใน สำหรับกรณีการส่งหรือโอนข้อมูลส่วนบุคคลไปนอกบริษัท ทั้งในประเทศและต่างประเทศ
14. การแต่งตั้งและบทบาทหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) กำหนดบทบาท อำนาจหน้าที่ และความรับผิดชอบของ DPO อย่างชัดเจน เพื่อกำกับ ดูแล ให้คำปรึกษา ตรวจสอบการประมวลผลข้อมูลส่วนบุคคล รวมทั้งเป็นจุดติดต่อประสานงานกับเจ้าของข้อมูลและหน่วยงานกำกับดูแล

การลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวบุคคลได้ (Data Deletion, Destruction, or Anonymization)

บริษัทกำหนดให้มีการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ เมื่อพ้นระยะเวลาที่จำเป็นต่อการประมวลผล หรือเมื่อสิ้นสุดวัตถุประสงค์ในการเก็บรักษาข้อมูล เว้นแต่กรณีที่กฎหมายกำหนดให้ต้องเก็บรักษาไว้ บริษัทจะดำเนินการเก็บรักษาตามที่กฎหมายกำหนด และเมื่อครบกำหนดแล้วต้องดำเนินการลบ ทำลาย หรือทำให้ข้อมูลดังกล่าวไม่สามารถระบุตัวบุคคลได้ทันที

ทั้งนี้ การลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวบุคคลได้ ต้องดำเนินการด้วยวิธีที่มั่นคงปลอดภัย ไม่สามารถกู้คืนหรือย้อนกลับได้ เช่น การย่อยทำลายเอกสาร (Shredding) การลบข้อมูลอิเล็กทรอนิกส์ด้วยเทคนิค Secure Erasure หรือการทำให้ไม่สามารถระบุตัวบุคคลได้ (Anonymization) โดยการดำเนินการทั้งหมดต้องอยู่ภายใต้การควบคุมและตรวจสอบของผู้ได้รับมอบหมายจากบริษัท และ หน่วยงานที่เกี่ยวข้องกับข้อมูลนั้นต้องปฏิบัติตามแนวทางนี้อย่างเคร่งครัด

การโอนข้อมูลส่วนบุคคลไปต่างประเทศ (Cross-Border Data Transfer)

บริษัทอาจมีความจำเป็นในการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ไม่ว่าจะเพื่อการจัดเก็บข้อมูลบนระบบ Cloud การใช้บริการจากผู้ให้บริการภายนอก หรือเพื่อการดำเนินงานของบริษัท ทั้งนี้ บริษัทจะดำเนินการโอนข้อมูลดังกล่าวตามหลักเกณฑ์ที่กำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 28 และ 29 รวมถึงกฎหมายลูกที่เกี่ยวข้อง โดยมีแนวปฏิบัติดังนี้

1. บริษัทจะโอนข้อมูลส่วนบุคคลไปยังประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
2. ในกรณีที่ประเทศปลายทางไม่ได้รับการรับรองมาตรฐานเพียงพอ บริษัทจะดำเนินการโดยใช้สัญญามาตรฐาน (Standard Contractual Clauses) หรือจัดให้มีมาตรการคุ้มครองข้อมูลที่เหมาะสมตามที่กฎหมายกำหนด
3. ข้อยกเว้นตามกฎหมาย
   บริษัทอาจโอนข้อมูลไปต่างประเทศโดยไม่ต้องพิจารณามาตรฐานการคุ้มครอง หากเป็นไปตามกรณีที่กฎหมายบัญญัติไว้ เช่น
   • ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
   • เป็นการปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลกับบริษัท หรือเพื่อดำเนินการตามคำขอของเจ้าของข้อมูลก่อนทำสัญญา
   • เป็นการปฏิบัติตามสัญญาระหว่างบริษัทกับบุคคล หรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูล
   • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลหรือบุคคลอื่น
   • เป็นการปฏิบัติภารกิจเพื่อประโยชน์สาธารณะ
4. การโอนถ่ายและการประมวลผลข้อมูลต้องดำเนินการด้วยวิธีที่ปลอดภัย และเป็นไปตามมาตรฐานความปลอดภัยขั้นต่ำของบริษัทฯ พร้อมทั้งสอดคล้องกับนโยบายและกระบวนการความมั่นคงปลอดภัยด้านสารสนเทศ 
   
   หน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลต้องดำเนินการตามนโยบายนี้อย่างเคร่งครัด เพื่อให้มั่นใจว่าการโอนข้อมูลเป็นไปตามกฎหมายและแนวปฏิบัติด้านความปลอดภัยของบริษัท

การควบคุมหน่วยงานภายนอกที่มีการประมวลผลข้อมูลส่วนบุคคล (Controlling other parties involving he processing of personal data)

สายงานที่เกี่ยวข้องต้องจัดทำและกำกับให้มีรายละเอียดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลใน สัญญาระหว่างบริษัทฯ และหน่วยงานภายนอก (Data Processor/Third Party) โดยสัญญาดังกล่าวต้องครอบคลุมประเด็นต่อไปนี้:

1. ข้อตกลงการไม่เปิดเผยข้อมูล (Non-Disclosure Agreement)
   • หน่วยงานภายนอกต้องรักษาความลับของข้อมูลส่วนบุคคลที่ได้รับ ไม่เปิดเผย หรือใช้ในวัตถุประสงค์อื่นที่ไม่ได้รับอนุญาต
2. รายละเอียดเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล (Details of Personal Data Processing)
   • ระบุประเภทของข้อมูลส่วนบุคคลที่ประมวลผล
   • วัตถุประสงค์ของการประมวลผล
   • ระยะเวลาที่ดำเนินการประมวลผล
3. สิทธิในการตรวจสอบการประมวลผลข้อมูลส่วนบุคคล (Audit Rights)
   
   • บริษัทฯ มีสิทธิในการตรวจสอบและติดตามการประมวลผลข้อมูลของหน่วยงานภายนอก
   • การตรวจสอบสามารถทำได้ตามระยะเวลาที่กำหนดหรือเมื่อมีเหตุอันควรสงสัยเกี่ยวกับความปลอดภัยของข้อมูล
4. มาตรการการลบ ทำลาย หรือส่งคืนข้อมูล (Data Return, Deletion or Destruction)
   
   • หน่วยงานภายนอกต้องดำเนินการลบ ทำลาย หรือส่งคืนข้อมูลส่วนบุคคลให้แก่บริษัทฯ เมื่อสิ้นสุดระยะเวลาการประมวลผลหรือเมื่อบริษัทฯ ขอให้ดำเนินการ
   • วิธีการต้องมั่นใจว่าข้อมูลไม่สามารถกู้คืนหรือใช้ต่อได้
5. การแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Notification)
   
   • หน่วยงานภายนอกต้องแจ้งบริษัทฯ โดยทันทีเมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคล
   • การแจ้งต้องครอบคลุมรายละเอียดของเหตุการณ์ ผลกระทบต่อเจ้าของข้อมูล และมาตรการแก้ไข

หลักการในการประมวลผลข้อมูล

การประมวลผลข้อมูลส่วนบุคคลใดๆ ที่ดำเนินการโดยบริษัทจะเป็นไปโดยชอบด้วยกฎหมาย โดยอยู่บนหลักการสำคัญ ดังนี้

1. การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
2. การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
3. การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
4. การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
5. การประมวลผลข้อมูลนั้นเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล โดยเป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
6. การประมวลผลข้อมูลนั้นเป็นการปฏิบัติตามหน้าที่ที่กฎหมายกำหนด
7. เจ้าของข้อมูลได้ให้ความยินยอมแล้ว

สิทธิของเจ้าของข้อมูล

บริษัทตระหนักดีว่า เจ้าของข้อมูลมีสิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และบริษัทให้ความสำคัญอย่างยิ่งในการดูแลและอำนวยความสะดวกแก่เจ้าของข้อมูลในการดำเนินการตามสิทธิเหล่านั้น ดังนี้

1. สิทธิในการได้รับแจ้ง บริษัทจะมีการแจ้ง “ประกาศความเป็นส่วนตัว (Privacy Notice)” ที่มีรายละเอียดวัตถุประสงค์ในการประมวลผลที่ชัดเจน รวมถึง “ประกาศการใช้คุกกี้ (Cookie Policy)” ที่แสดงถึงประเภทเทคโนโลยีคุกกี้ที่บริษัทมีการใช้ รวมถึงวัตถุประสงค์ในการใช้เทคโนโลยีคุกกี้เหล่านั้น และในกรณีที่บริษัทมีการประมวลผลข้อมูลไม่เป็นไปตามวัตถุประสงค์ หรือที่นอกเหนือ
   ความยินยอมใดๆ ที่ได้ให้ไว้ บริษัทจะแจ้ง และ/หรือขอความยินยอมจากเจ้าของข้อมูลก่อนการประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกวัตถุประสงค์ดังกล่าว
2. สิทธิในการเพิกถอนความยินยอม เจ้าของข้อมูลสามารถขอเพิกถอนความยินยอมที่เคยให้บริษัทไว้ได้ทุกเมื่อ
3. สิทธิในการเข้าถึงข้อมูล เจ้าของข้อมูลสามารถขอเข้าถึงข้อมูลส่วนบุคคลของตนเอง และขอสำเนาข้อมูลกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ตลอดจนสามารถขอให้บริษัทเปิดเผยการได้มาซึ่งข้อมูลดังกล่าวได้
4. สิทธิในการแก้ไขข้อมูล เจ้าของข้อมูลสามารถขอปรับปรุงแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องได้ เพื่อให้ข้อมูลดังกล่าวมีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด 
5. สิทธิในการลบข้อมูล เจ้าของข้อมูลสามารถขอให้บริษัทลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ 
6. สิทธิในการโอนข้อมูล ในกรณีที่ระบบข้อมูลของบริษัทรองรับการอ่านหรือใช้งานโดยทั่วไปด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานอัตโนมัติ และสามารถใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลส่วนบุคคลสามารถขอรับสำเนาข้อมูลส่วนบุคคลของตนได้ รวมถึงขอให้มีการโอนถ่ายข้อมูลดังกล่าวไปยังผู้ควบคุมข้อมูลอื่นโดยอัตโนมัติได้ และขอรับข้อมูลส่วนบุคคลที่มีการส่งหรือโอนดังกล่าวได้ 
7. สิทธิในการระงับการใช้ข้อมูล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลได้
8. สิทธิในการคัดค้านการประมวลผลข้อมูล เจ้าของข้อมูลสามารถขอคัดค้านการประมวลผลข้อมูลส่วนบุคคลได้ เจ้าของข้อมูลสามารถอ่านเงื่อนไขการขอใช้สิทธิเพิ่มเติมได้ในประกาศความเป็นส่วนตัว (Privacy Notice) ทั้งนี้ ในบางกรณี บริษัทอาจปฏิเสธคำขอใช้สิทธิข้างต้น หากมีเหตุอันชอบธรรมด้วยกฎหมาย หรือเป็นการดำเนินการใด ๆ เพื่อวัตถุประสงค์หรือเป็นกรณีที่ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล หรือเป็นกรณีที่อาจส่งผลกระทบและก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของเจ้าของข้อมูลหรือบุคคลอื่น
   
   กรณีที่เจ้าของข้อมูลต้องการดำเนินการตามสิทธิที่กล่าวมาข้างต้น สามารถแจ้งขอใช้สิทธิได้ที่
   
   หน่วยงานกำกับดูแลการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล 
   สถานที่ติดต่อ : บริษัท ริโก้ (ประเทศไทย) จำกัด สำนักงานใหญ่ (อ่อนนุช) 341 ถนนอ่อนนุช ประเวศ กรุงเทพ 10250 ประเทศไทย 
   อีเมล : [email protected] 

ข้อมูลส่วนบุคคลที่บริษัทประมวลผล

บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง เช่น การติดต่อสื่อสาร การเสนอราคา การสรรหา การทำสัญญา การสมัครงาน และการเข้าร่วมกิจกรรมต่างๆ รวมถึงอาจเก็บจากแหล่งอื่น เช่น หน่วยงานของรัฐ พันธมิตรทางธุรกิจ หรือบุคคลที่สาม ทั้งนี้ บริษัทจัดเก็บทั้งข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data) ตามที่กฎหมายกำหนด ดังนี้

1. ข้อมูลส่วนบุคคลทั่วไป (General Personal Data)
   1. รายละเอียดส่วนบุคคล (ข้อมูลพื้นฐาน) เช่น คำนำหน้าชื่อ, ชื่อ–นามสกุล, เพศ, วันเดือนปีเกิด, อายุ, การศึกษา, สถานภาพสมรส, สัญชาติ
   2. ข้อมูลติดต่อ เช่น ที่อยู่ติดต่อ, อีเมล, หมายเลขโทรศัพท์, บุคคลอ้างอิง, ข้อมูลการติดต่อทางธุรกิจ
   3. รายละเอียดการยืนยันตัวตน เช่น ภาพถ่าย, เลขประจำตัวประชาชน, หนังสือเดินทาง, ใบอนุญาตขับขี่, ลายมือชื่อ, หมายเลขประจำตัวผู้เสียภาษี
   4. รายละเอียดการทำงาน เช่น อาชีพ, ตำแหน่งงาน, รายได้, ค่าตอบแทน, นายจ้าง
   5. รายละเอียดทางการเงิน/ธุรกรรม เช่น ข้อมูลบัญชีธนาคาร, การชำระเงิน, ประวัติการค้างชำระ
   6. ข้อมูลด้านการตลาดและการใช้บริการ เช่น ประวัติการเข้าชมเว็บไซต์/แอปพลิเคชัน, Cookies, Log Files, การลงทะเบียนเข้าร่วมกิจกรรม
      
      
2. ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data)
   
   บริษัทอาจมีการเก็บและประมวลผลข้อมูลส่วนบุคคลอ่อนไหวบางประเภทโดยอาศัยฐานทางกฎหมายที่ชัดเจน และดำเนินการด้วยมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เช่น
   
   1. ข้อมูลสุขภาพ (Health Data)
   2. ข้อมูลชีวภาพ (Biometric Data) เช่น ลายนิ้วมือ, การจดจำใบหน้า, การจดจำเสียง, การจดจำม่านตา
   3. ข้อมูลศาสนา ที่ปรากฏบนบัตรประชาชน (กรณีปรากฏโดยไม่เจตนา)
   4. บริษัทไม่มีนโยบายเก็บรวบรวมข้อมูลอ่อนไหวเกินกว่าความจำเป็น เว้นแต่กรณีที่กฎหมายอนุญาตหรือมีความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
      
      
3. ข้อมูลประวัติอาชญากรรม (Criminal Records)
   
   บริษัทไม่มีนโยบายเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลประวัติอาชญากรรมของเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่มีกฎหมายกำหนดชัดเจนให้ต้องดำเนินการ ทั้งนี้ การดำเนินการเกี่ยวกับข้อมูลดังกล่าว (หากมีในอนาคต) จะเป็นไปตามมาตรการที่กำหนดใน แนวปฏิบัติภายในของฝ่ายกลยุทธ์การบริหารจัดการบุคลากร (Strategic People Management Division) และสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง
   
   
4. การจัดการข้อมูลที่เกินความจำเป็น (Unnecessary Data Processing)
   
   กรณีบริษัทได้รับสำเนาบัตรประจำตัวประชาชนของเจ้าของข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ในการพิสูจน์ตัวตน และ/หรือการทำธุรกรรมใดๆ กับบริษัท ซึ่งอาจจะมีข้อมูลอ่อนไหว (เช่น ศาสนา หมู่โลหิต) อยู่ด้วย บริษัทไม่มีนโยบายจัดเก็บข้อมูลส่วนบุคคลดังกล่าวยกเว้นในกรณีที่บริษัทมีสิทธิตามกฎหมาย พนักงานหรือผู้ที่เกี่ยวข้องต้องดำเนินการ ขีดทับ ทำลาย หรือทำให้ไม่สามารถระบุตัวบุคคลได้ (Redaction/Anonymization) ก่อนจัดเก็บหรือบันทึกเอกสาร

นโยบายคุกกี้ (Cookie Policy) 

บริษัทฯ ใช้คุกกี้และเทคโนโลยีที่คล้ายกันบนเว็บไซต์และระบบของบริษัทฯ เพื่อปรับปรุงการใช้งาน วิเคราะห์พฤติกรรมผู้ใช้ และปรับปรุงบริการให้เหมาะสม โดยคุกกี้บางประเภทอาจจำเป็นต่อการทำงานของระบบ ในขณะที่บางประเภทใช้เพื่อวิเคราะห์หรือการตลาด ผู้ใช้สามารถปฏิเสธหรือปรับตั้งค่าคุกกี้ได้ ข้อมูลคุกกี้จะไม่ถูกนำไปใช้เพื่อระบุตัวบุคคลโดยไม่ได้รับอนุญาต และการเปิดเผยข้อมูลกับบุคคลภายนอกจะต้องเป็นไปตามข้อกำหนดด้าน PDPA

หน่วยงานที่เกี่ยวข้องกับการจัดเก็บและประมวลผลข้อมูลต้องปฏิบัติตามนโยบายนี้อย่างเคร่งครัด เพื่อให้มั่นใจว่าการใช้คุกกี้และข้อมูลที่เกี่ยวข้องเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

การออกแบบโดยคำนึงถึงการคุ้มครองข้อมูลส่วนบุคคล (Privacy by Design)

บริษัทฯ จะต้องคำนึงถึงการคุ้มครองข้อมูลส่วนบุคคลตั้งแต่ขั้นตอนของการออกแบบบริการ โดยคำนึงถึงหลักการ ดังต่อไปนี้

1. การเก็บรวบรวมข้อมูลอย่างจำกัด: เก็บเฉพาะข้อมูลส่วนบุคคลที่จำเป็นและเหมาะสมกับวัตถุประสงค์ที่ชัดเจน
2. การประมวลผลข้อมูลอย่างจำกัด: ใช้ข้อมูลเฉพาะเพื่อวัตถุประสงค์ที่กำหนดไว้ ไม่เกินความจำเป็น
3. ความถูกต้องและคุณภาพของข้อมูล: รับประกันว่าข้อมูลที่เก็บและประมวลผลมีความถูกต้อง ครบถ้วน และทันสมัย
4. การระบุวัตถุประสงค์ขั้นต่ำ: ระบุจุดประสงค์ในการประมวลผลข้อมูลส่วนบุคคลอย่างชัดเจนและจำกัดเฉพาะที่จำเป็น
5. การลบหรือทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้: มีมาตรการลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้เมื่อครบวัตถุประสงค์
6. การจัดการข้อมูลชั่วคราว: จัดเก็บและควบคุมข้อมูลที่ใช้ระหว่างการประมวลผลอย่างปลอดภัย
7. ระยะเวลาการจัดเก็บข้อมูล: กำหนดระยะเวลาการเก็บข้อมูลให้เหมาะสมตามวัตถุประสงค์และกฎหมาย
8. มาตรการแลกเปลี่ยนข้อมูลอย่างปลอดภัย: ป้องกันความเสี่ยงจากการแลกเปลี่ยนหรือแชร์ข้อมูลกับหน่วยงานอื่น

การวิเคราะห์ผลกระทบและความเสี่ยงของข้อมูลส่วนบุคคล (Privacy Impact Risk Assessment)

หน่วยงานที่เกี่ยวข้องต้องมีส่วนร่วมอย่างต่อเนื่อง เพื่อให้มั่นใจว่าการดำเนินกิจกรรมทางธุรกิจ โครงการ หรือการกระทำใดๆ จะไม่ส่งผลกระทบต่อสิทธิของเจ้าของข้อมูล โดยหน่วยงานที่เกี่ยวข้องต้องร่วมทบทวนและประเมินผลกระทบของข้อมูลส่วนบุคคลร่วมกับหน่วยธุรกิจก่อนเริ่มดำเนินกิจกรรม เพื่อให้สามารถกำหนดมาตรการควบคุมความเสี่ยงที่เหมาะสมและป้องกันการละเมิดข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ

ความปลอดภัยของข้อมูล (Data Security)

1. ข้อมูลส่วนบุคคลที่บริษัทประมวลผล ต้องได้รับการเก็บรักษาเป็นความลับและเปิดเผยเฉพาะต่อบุคลากรที่ได้รับอนุญาตตามกฎหมาย กฎระเบียบ หรือมาตรการที่บังคับใช้เท่านั้น
2. หน่วยงานที่เกี่ยวข้องมีหน้าที่ร่วมกันควบคุมการเข้าถึงข้อมูลให้เหมาะสม โดยมั่นใจว่าบุคลากรมีสิทธิ์เข้าถึงข้อมูลเพียงเท่าที่จำเป็นสำหรับการปฏิบัติงาน 
3. การขอสิทธิ์เข้าถึงข้อมูลในกรณีพิเศษนอกเหนือจากที่กำหนดจะต้องได้รับการพิจารณาและอนุมัติจากเจ้าของข้อมูล
4. การดำเนินมาตรการด้านเทคนิคและการบริหารจัดการต้องเป็นไปตามนโยบายความมั่นคงปลอดภัยสารสนเทศของบริษัทฯ เช่น การตั้งรหัสผ่าน การเข้ารหัสข้อมูลในระหว่างการเก็บและรับส่ง การจัดเก็บข้อมูลในสภาพแวดล้อมที่ปลอดภัย และการติดตามตรวจสอบการเข้าถึงข้อมูล เพื่อป้องกันการเข้าถึงหรือเปิดเผยโดยไม่ได้รับอนุญาต
5. ในกรณีที่มีการจ้างหน่วยงานภายนอกเพื่อจัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล ต้องมีสัญญาที่ระบุแนวทางการรักษาความมั่นคงปลอดภัยข้อมูล รวมถึงกระบวนการทำลายหรือลบข้อมูลเมื่อสิ้นสุดการให้บริการหรือครบตามวัตถุประสงค์ในการใช้ข้อมูล ทั้งนี้ การดำเนินการทั้งหมดต้องสอดคล้องกับ PDPA และมาตรการรักษาความปลอดภัยตามกฎหมายลูก เพื่อป้องกันความเสี่ยงด้านการละเมิดข้อมูลส่วนบุคคลอย่างเคร่งครัด

กระบวนการจัดการเหตุละเมิดข้อมูล (Personal Data Breach Management Process)

หากบุคคลใดทราบถึงการละเมิดข้อมูลส่วนบุคคลของบริษัทฯ บุคคลนั้นจะต้องรายงานเหตุการณ์ที่เกิดขึ้นแก่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยทันที ทั้งนี้ การรายงานดังกล่าวจะถูกเก็บเป็นความลับ เมื่อมีการแจ้งการละเมิดความปลอดภัย บริษัทจะดำเนินการตรวจสอบข้อเท็จจริงที่เกี่ยวข้องกับเหตุการณ์ พร้อมทำการนำเสนอแนวทางแก้ไขที่เหมาะสมแก่คณะบริหารของบริษัทฯ

หน้าที่ตามกฎหมายของบริษัท

1. บริษัทจะแจ้งประกาศความเป็นส่วนตัวให้แก่เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะที่จะเก็บรวบรวมข้อมูลส่วนบุคคล
2. บริษัทจะประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งไว้และมีฐานทางกฎหมายรองรับตามกฎหมาย
3. บริษัทจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันเหตุการละเมิดข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดบริษัทจะมีมาตรการเพื่อป้องกันมิให้บุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
4. บริษัทจะจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลนั้น
5. บริษัทจะจัดให้มีมาตรการเกี่ยวกับการแจ้งเหตุและจัดการเหตุละเมิดข้อมูลส่วนบุคคล
6. บริษัทจะจัดให้มีข้อตกลงการประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคล
7. บริษัทจะปฏิบัติหน้าที่อื่นๆ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

บทบาทหน้าที่และความรับผิดชอบ

ผู้บริหารมีหน้าที่และความรับผิดชอบในการติดตามควบคุมให้ฝ่ายงานต่างๆ ปฏิบัติตามนโยบายฉบับนี้ อีกทั้งส่งเสริมความตระหนักรู้ให้กับพนักงานของบริษัท เพื่อทำให้การคุ้มครองข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของการปฏิบัติงานของบริษัท พนักงานของบริษัทมีหน้าที่และความรับผิดชอบในการปฏิบัติให้สอดคล้องกับนโยบาย กระบวนการทำงาน และกฎหมายคุ้มครองข้อมูลส่วนบุคคล

การทบทวนและปรับปรุงนโยบาย

บริษัทจะมีการทบทวนนโยบายนี้ให้เป็นปัจจุบันอย่างเสมอ หรือเมื่อมีการเปลี่ยนแปลงที่จำเป็นต้องได้รับการปรับปรุง เพื่อให้นโยบายนี้มีความเหมาะสมกับสถานการณ์ที่เปลี่ยนแปลง และจะมีการประกาศให้พนักงานทุกคนทราบผ่านทาง อีเมลภายใน ระบบอินทราเน็ต หรือช่องทางการสื่อสารภายในอื่นๆ ของบริษัท ที่เหมาะสม


วันที่ประกาศใช้ 9 ตุลาคม 2568