นโยบายคุ้มครองข้อมูลส่วนบุคคล
บริษัท ไวส์ โลจิสติกส์ จำกัด (มหาชน) และบริษัทในกลุ่ม (รวมเรียกว่า “บริษัทฯ”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นสิทธิขั้นพื้นฐานสำคัญในความเป็นส่วนตัวที่ต้องได้รับความคุ้มครองตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทฯ มีความรับผิดชอบในการรักษาความปลอดภัยของข้อมูลที่อยู่ภายใต้ความดูแลของบริษัทฯ และมุ่งมั่นที่จะจัดการข้อมูลด้วยวิธีการที่มั่นคงปลอดภัยและน่าเชื่อถือ บริษัทฯ จึงได้ประกาศนโยบายเพื่อเป็นหลักการในการคุ้มครองข้อมูลส่วนบุคคลขึ้น เพื่อให้บริษัทฯ ซึ่งเป็นผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ปฏิบัติ หรืองดเว้นการปฏิบัติการใดๆ ที่เป็นการฝ่าฝืนพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนั้น บริษัทฯ จึงได้กำหนดหน้าที่ให้พนักงานของบริษัทฯ ยึดถือแนวปฏิบัติในนโยบายฉบับนี้อย่างเคร่งครัด ดังต่อไปนี้
ขอบเขตการใช้
-
- นโยบายฉบับนี้ผลบังคับกับคณะกรรมการ ฝ่ายบริหารและพนักงานทุกระดับของบริษัทฯ เพื่อเป็นแนวทางในการกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคล และมาตรการควบคุมภายในที่เหมาะสม ตลอดจนกำหนดระเบียบหลักเกณฑ์คู่มือแนวปฏิบัติที่เกี่ยวข้อง รวมถึงควบคุม กำกับดูแล ให้บุคลากรและพนักงานทุกระดับของบริษัทฯปฏิบัติตามมาตรการต่างๆ ให้เป็นไปตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัดและมีประสิทธิภาพ
- นโยบายฉบับนี้ผลบังคับใช้กับทุกกิจกรรมการดำเนินงานของบริษัทฯ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น ช่องทางการจัดเก็บ รวบรวมข้อมูล ประเภท และรูปแบบของข้อมูลที่จัดเก็บ วัตถุประสงค์ของบริษัทฯ ในการนำข้อมูลส่วนบุคคลไปใช้ การแบ่งปันข้อมูลดังกล่าวให้กับบุคคลอื่น ตลอดจนวิธีที่บริษัทฯ ดำเนินการปกป้องข้อมูลส่วนบุคคล การกำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล รวมถึงการออกมาตรการคุ้มครองข้อมูลผู้ใช้บริการ หรือลูกค้าของบริษัทฯ บนหน้าเว็บไซต์ของบริษัทฯ
แนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯ กำหนดมาตรการให้บุคลากรของบริษัทฯ และบุคคลอื่นที่เกี่ยวข้องทราบ และตระหนักถึงหน้าที่และความรับผิดชอบ รวมถึงแนวทางที่จะต้องดำเนินการให้สอดคล้องนโยบาย ระเบียบ หลักเกณฑ์ หรือแนวปฏิบัติที่เกี่ยวข้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด โดยมีแนวทางการดำเนินการ ดังต่อไปนี้
- การประมวลผลข้อมูลส่วนบุคคลต้องเป็นไปโดยชอบด้วยกฎหมาย มีความโปร่งใส และตรวจสอบได้
- การประมวลผลข้อมูลส่วนบุคคล ต้องเป็นการดำเนินการภายในขอบเขต และวัตถุประสงค์ที่บริษัทฯ กำหนด และไม่นำไปใช้หรือเปิดเผยนอกขอบเขต และวัตถุประสงค์ของการประมวลผลข้อมูลนั้น
- การประมวลผลข้อมูลส่วนบุคคลต้องเป็นไปเท่าที่จำเป็นเกี่ยวข้อง และเพียงพอต่อขอบเขต และวัตถุประสงค์ของการประมวลผลข้อมูลนั้น และต้องเป็นไปตามระยะเวลาเท่าที่จำเป็นต่อการประมวลผลข้อมูลนั้น
- การประมวลผลข้อมูลส่วนบุคคลจะต้องเป็นการดำเนินการที่ถูกต้อง แล้วต้องทำให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น
- การประมวลผลข้อมูลส่วนบุคคลต้องมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล และมาตรการภายใน สำหรับการส่งออกข้อมูลไปนอกบริษัทฯ ทั้งในประเทศและต่างประเทศ รวมถึงสนับสนุน และส่งเสริมให้บุคลากรของบริษัทมีความรู้ความเข้าใจด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ และจัดให้มีการฝึกอบรมเพื่อให้สามารถปฏิบัติตามนโยบายด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ ได้อย่างถูกต้อง และมีประสิทธิภาพ
- การประมวลผลข้อมูลส่วนบุคคลต้องแจ้งรายละเอียดการประมวลผลให้แก่เจ้าของข้อมูลส่วนบุคคล รวมถึงต้องกำหนดมาตรการให้เจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
- กำหนดมาตรการควบคุมภายใน จากการปฏิบัติงานด้านต่างๆ ของบริษัทฯ เกี่ยวกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม และกำหนดให้มีการบันทึกรายการกิจกรรมการประมวลผลข้อมูล และเก็บรักษาบันทึกรายการกิจกรรมดังกล่าวไว้ตามหลักเกณฑ์ และวิธีการที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
- กำหนดให้กรรมการผู้จัดการ มีทำหน้าที่กำกับดูแลการปฏิบัติตามนโยบาย ระเบียบ หลักเกณฑ์ คู่มือ แนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคล รวมถึงสนับสนุนให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทำหน้าที่ให้คำปรึกษาแก่บุคลากรของบริษัท และเป็นตัวแทนของบริษัทติดต่อประสานงานกับเจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อรองรับการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และกฎเกณฑ์ที่เกี่ยวข้องตามนโยบายนี้ รวมถึงเพื่อรับเรื่องร้องเรียน และดำเนินการใด ๆ เกี่ยวกับการใช้สิทธิเจ้าของข้อมูลส่วนบุคคล
แนวทางในการทำหน้าที่ผู้ประมวลผลข้อมูลส่วนบุคคล
บริษัทฯ จะประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามข้อกำหนด หรือคำสั่งเป็นลายลักษณ์อักษรของผู้ควบคุมข้อมูลส่วนบุคคล โดยมีแนวทางการดำเนินการ ดังต่อไปนี้
- การประมวลผลข้อมูลส่วนบุคคลต้องดำเนินการตามคำสั่งที่เป็นลายลักษณ์อักษรตามที่ระบุในสัญญา และอยู่ในขอบเขตของงานที่จ้างเท่านั้น และต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวกับหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล
- การประมวลผลข้อมูลส่วนบุคคลต้องดำเนินการตามคู่มือปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือตามที่บริษัทฯ กำหนด และต้องไม่ใช้ ไม่เปิดเผยข้อมูลส่วนบุคคลไปยังบุคคลใดๆ ไม่ว่าในประเทศหรือต่างประเทศ เว้นแต่เป็นไปตามคำสั่งที่ได้รับจากผู้ว่าจ้าง หรืออยู่ในขอบเขตของงานที่จ้าง
- บริษัทฯ จัดให้มีแนวทางในการอนุญาตให้เข้าถึงข้อมูลส่วนบุคคลได้เฉพาะบุคคลที่จำเป็นต้องรู้ และเข้าถึงข้อมูลส่วนบุคคล เพื่อให้บริษัทสามารถปฏิบัติหน้าที่ของตนตามคำสั่งที่เป็นลายลักษณ์อักษรจากผู้ว่าจ้าง หรืออยู่ในขอบเขตของงานที่จ้างเท่านั้น
การเก็บรวบรวมข้อมูลส่วนบุคคล
-
- การเก็บรวบรวมข้อมูลส่วนบุคคล ให้กระทำได้ภายใต้วัตถุประสงค์ และเพียงเท่าที่จำเป็นตามกรอบวัตถุประสงค์ในการเก็บรวบรวม โดยบริษัทฯ จะดำเนินการให้เจ้าของข้อมูลส่วนบุคคล รับรู้ และหรือให้ความยินยอมทางอิเล็กทรอนิกส์ หรือโดยข้อความสร้าง หรือตามแบบวิธีการอื่นได้ ที่บริษัทฯ กำหนด ซึ่งการดำเนินการดังกล่าวข้างต้น บริษัทฯ จะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนทำการเก็บรวบรวม เว้นแต่กฎหมายจะกำหนดเป็นอย่างอื่น โดยบริษัทฯ จะดำเนินการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือ ในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ถึงรายละเอียด ดังต่อไปนี้
- วัตถุประสงค์ของการเก็บรวบรวม
- ข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวม
- กรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อการปฏิบัติตามกฎหมายหรือสัญญา หรือเพื่อเข้าทำสัญญาโดยต้องแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลส่วนบุคคลทราบด้วย
- ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจถูกเปิดเผย
- ข้อมูล สถานที่ และวิธีการติดต่อบริษัท
- สิทธิของเจ้าของข้อมูลส่วนบุคคล
- การเก็บรวบรวมข้อมูลส่วนบุคคล ให้กระทำได้ภายใต้วัตถุประสงค์ และเพียงเท่าที่จำเป็นตามกรอบวัตถุประสงค์ในการเก็บรวบรวม โดยบริษัทฯ จะดำเนินการให้เจ้าของข้อมูลส่วนบุคคล รับรู้ และหรือให้ความยินยอมทางอิเล็กทรอนิกส์ หรือโดยข้อความสร้าง หรือตามแบบวิธีการอื่นได้ ที่บริษัทฯ กำหนด ซึ่งการดำเนินการดังกล่าวข้างต้น บริษัทฯ จะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนทำการเก็บรวบรวม เว้นแต่กฎหมายจะกำหนดเป็นอย่างอื่น โดยบริษัทฯ จะดำเนินการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือ ในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ถึงรายละเอียด ดังต่อไปนี้
- การเก็บรวบรวมข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้ ไม่จำเป็นต้องดำเนินการแจ้งให้เจ้าของข้อมูลส่วนบุคคล รับรู้ และหรือให้ความยินยอม
- เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์ หรือ จดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวข้องกับการศึกษาวิจัย หรือสถิติ ซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคล
- เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
- เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้รับมอบหมายให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
- เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคล หรือนิติบุคคลอื่น ที่ไม่ใช้ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
- เป็นการปฏิบัติตามกำหนดหรือคำสั่งศาล
ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
- บริษัทฯ จะเก็บข้อมูลส่วนบุคคลในระยะเวลาเท่าที่จำเป็น เพื่อให้บรรลุวัตถุประสงค์ตามประเภทข้อมูลส่วนบุคคลแต่ละประเภท เว้นแต่กฏหมายจะอนุญาตให้มีระยะเวลาการเก็บรักษาที่นานขึ้น ในกรณีที่ไม่สามารถระบุระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลได้ชัดเจน เราจะเก็บรักษาข้อมูลไว้ตามระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม (เช่น อายุความตามกฎหมายทั่วไปสูงสุด 10 ปี)
- บริษัทฯ จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น
การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
บริษัทฯ จะใช้เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้ ตามความยินยอมของเจ้าของข้อมูลส่วนบุคคลโดยจะต้องเป็นการใช้ตามวัตถุประสงค์ของการเก็บรวบรวม ข้อมูลของบริษัทฯ เท่านั้น โดยบริษัทฯ จะกำกับดูแลพนักงานเจ้าหน้าที่ หรือผู้ปฏิบัติงานของบริษัทมิให้ใช้ และ/หรือ เปิดเผย ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนอกเหนือไปจากวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล หรือ เปิดเผยต่อบุคคลภายนอก เว้นแต่กฎหมายจะกำหนดเป็นอย่างอื่น ทั้งนี้บริษัทฯ ได้จัดให้มีระบบควบคุม มีการจำกัดกำหนดลำดับขั้นผู้มีสิทธิในการใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็น รวมถึงมีการบันทึกการใช้หรือเปิดเผยข้อมูล ให้เป็นไปตามวัตถุประสงค์ หรือการจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวม และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ให้ไว้ก่อนหรือในขณะนั้น เว้นแต่ในกรณีดังต่อไปนี้ไม่จำเป็นต้องขอความยินยอม
- เพื่อให้บรรลุวัตถุประสงค์ ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวข้องกับการศึกษาวิจัย หรือสถิติ ซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อการใช้ดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
- เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
- เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐาน ในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
- เป็นการปฏิบัติตามกฎหมายกำหนดหรือคำสั่งศาล