นโยบายคุ้มครองข้อมูลส่วนบุคคล (Data Protection Privacy Policy)

1. วัตถุประสงค์

2. ขอบข่าย

3. นิยาม

4. นโยบายคุ้มครองข้อมูลส่วนบุคคล

5. การเฝ้าติดตาม ทบทวน และ ปรับปรุงนโยบาย

6. สถานที่ติดต่อ และวิธีการติดต่อ

1. วัตถุประสงค์

  เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ ดังนี้

• เพื่อระบุถึงความสำคัญของการปฏิบัติที่ถูกต้องเกี่ยวกับข้อมูลส่วนบุคคลอย่างชัดเจนและสอดคล้องตามหลักการที่เกี่ยวข้องกับความปลอดภัยของข้อมูลส่วนบุคคล
• เพื่อให้สำคัญถึงความจำเป็นของข้อมูล โดยระบุถึงสภาพทั่วไป ปริมาณ และลักษณะของข้อมูลส่วนบุคคลที่มีความจำเป็นต่อการดำเนินงานของบริษัทฯ
• เพื่อกำหนดเป็นนโยบายการจัดการและแนวทางปฏิบัติที่ดี
• เพื่อกำหนดให้มีขั้นตอนสำหรับการดำเนินการและการจัดการข้อมูลส่วนบุคคลที่เหมาะสม
• พนักงานของบริษัทฯ มีความรู้ความสามารถที่เหมาะสม เพื่อทำหน้าที่ดูแลรับผิดชอบข้อมูลส่วนบุคคลให้มีความปลอดภัย
• เพื่อให้มีสภาพแวดล้อม วัฒนธรรม และ การสนับสนุนที่ดีที่สุดต่อการประมวลผลข้อมูลส่วนบุคคลสำหรับพนักงาน
• พนักงานทุกคนมีความตระหนักถึงหน้าที่ความรับผิดชอบและสามารถปฏิบัติตามวิธีการจัดการต่อข้อมูลส่วนบุคคลของบริษัทฯได้อย่างถูกต้อง
• เจ้าของข้อมูลส่วนบุคคล ทราบถึงวิธีการส่งคำร้องเพื่อขอเข้าถึงข้อมูลส่วนบุคคลของตนเอง ว่ามีขั้นตอนอย่างไร ติดต่อใคร โดยคำร้องดังกล่าวจะต้องได้รับการจัดการอย่างรวดเร็วและถูกต้อง
• เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าข้อมูลส่วนบุคคลของตนเอง ได้รับการบริหารจัดการที่มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีมาตรฐาน เพื่อให้ข้อมูลส่วนบุคคลมีความปลอดภัยตลอดเวลา และป้องกันการเข้าถึงจากผู้ที่ไม่ได้รับอนุญาต
• หน่วยงานอื่นใด ที่ต้องการโอนย้ายหรือแชร์ข้อมูลส่วนบุคคลของบริษัทฯ ต้องปฏิบัติตามขึ้นตอนปฏิบัติของบริษัทฯ อย่างเคร่งครัด
• สำหรับการพัฒนาระบบหรือแอปพลิเคชัน จำเป็นต้องได้รับการประเมินความเสี่ยงและความเสียหายที่อาจมีผลต่อข้อมูลส่วนบุคคล ตามที่นโยบายฉบับนี้กำหนดไว้

2. ขอบข่าย
   ครอบคลุมการปฏิบัติงานของพนักงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

3. นิยาม
   “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

   “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

   “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

4. นโยบายคุ้มครองข้อมูลส่วนบุคคล
   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้บริษัทฯ มีหน้าที่จัดทำมาตรการในการคุ้มครองข้อมูลส่วนบุคคลเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลทั้งที่ตั้งใจหรือไม่ตั้งใจ ซึ่งบริษัทฯ มีความมุ่งมั่นที่จะคุ้มครองข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย การใช้ผิดวัตถุประสงค์ การถูกเปิดเผย การถูกแก้ไข การไม่พร้อมใช้งาน การเข้าใช้โดยไม่มีสิทธิหรือได้รับอนุญาต รวมถึงการถูกทำลาย โดยใช้ความระมัดระวังตามสมควรเพื่อปกป้องข้อมูลส่วนบุคคล รวมถึงการจัดทำมาตรการทางด้านเทคนิคที่เหมาะสม เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลใดๆ ที่ได้รับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ว่าทางตรงหรืออ้อม ไม่ว่าจะบนกระดาษ คอมพิวเตอร์ หรือบนสื่อบันทึกใดๆ ให้มีการปกป้องที่เหมาะสมเพื่อให้แน่ใจว่าเป็นไปตามข้อบังคับของกฎหมาย

   บริษัทฯ ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่เกี่ยวข้องกับบุคคล ซึ่งหมายรวมถึงพนักงาน พนักงานชั่วคราว หุ้นส่วนทางธุรกิจ จะต้องมีวัตถุประสงค์ทางธุรกิจที่ชอบด้วยกฎหมายในการเก็บและดำเนินการกับข้อมูลใดๆ มีภาระผูกพันเพื่อปกป้องคุ้มครองสิทธิและเสรีภาพของบุคคลตามที่ได้ระบุไว้ในกฎหมาย ซึ่งมีรายละเอียดดังนี้

การคุ้มครองข้อมูลส่วนบุคคล

• การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่ โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้
• ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้ง วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้ง ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว
• ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทำสัญญา ซึ่งรวมถึงการให้บริการใดๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้นๆ
• เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่าย เช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือ สัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้ว
• ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุม ข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามที่กำหนดไว้ในหมวดนี้ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล และไม่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้

การเก็บรวมรวมข้อมูลส่วนบุคคล

• การเก็บรวบรวมข้อมูลส่วนบุคคล ต้องได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคลก่อน จึงจะทำการเก็บรวบรวมได้ เว้นแต่บทบัญญัติแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายอื่นบัญญัติให้กระทำได้
• การเก็บรวบรวมข้อมูลส่วนบุคคลต้องทำอย่างชัดแจ้ง โดยจัดทำเป็นหนังสือ หรือเอกสาร หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เพื่อขอความยินยอมจากเจ้าของข้อมูล และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้
• การเก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลซึ่งเป็นผู้เยาว์ยังไม่บรรลุนิติภาวะโดยการสมรส หรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามมาตรา ๒๗ แห่งประมวลกฎหมายแพ่งและพาณิชย์ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ได้
• การเก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลซึ่งเป็นบุคคลไร้ความสามารถ ให้ดำเนินการขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ
• การเก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลซึ่งเป็นบุคคลเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
• การเก็บรวบรวมข้อมูลส่วนบุคคล ต้องเก็บรวบรวมเท่าที่จำเป็นต้องใช้เท่านั้น และต้องแจ้งวัตถุประสงค์ของการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลไปด้วย
• กำหนดระยะเวลาในการเก็บ รวบรวม ข้อมูลส่วนบุคคล
• กำหนดมาตรการหรือวิธีการในการดูแลรักษาข้อมูลส่วนบุคคลที่ได้จัดเก็บรวบรวมมา เพื่อป้องกันการเข้าถึงจากบุคคลซึ่งไม่มีสิทธิ์

การใช้ เปิดเผย ข้อมูลส่วนบุคคล

• การใช้หรือเปิดเผยข้อมูลส่วนบุคคล จะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนเท่านั้น บริษัทฯ จึงจะสามารถใช้หรือเปิดเผยข้อมูลดังกล่าวได้
• การส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังหน่วยงานอื่น บริษัทฯ จะดำเนินการจัดให้ให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เพื่อป้องกันการสูญหาย เสียหาย หรือความผิดพลาดอื่นๆ ที่อาจมีต่อข้อมูลส่วนบุคคล
• การใช้ เปิดเผยข้อมูล จะดำเนินการใช้หรือเปิดเผยตามที่ได้ขออนุญาตจากเจ้าของข้อมูลไว้เท่านั้น

5. การเฝ้าติดตาม ทบทวน และ ปรับปรุงนโยบาย
   นโยบายฉบับนี้กำหนดให้มีการเฝ้าติดตาม และกำหนดตัวชี้วัดเพื่อวัดประสิทธิภาพของกระบวนการปฏิบัติงานเพี่อให้สอดคล้องตามนโยบายนี้ โดยจะต้องมีการกำหนดแผนให้มีการวัดผลเป็นประจำสม่ำเสมอ และมีการทบทวนนโยบายฉบับนี้ อย่างน้อยปีละ 1 ครั้ง หรือ หากมีการเปลี่ยนแปลงที่เกี่ยวข้องกับการดำเนินธุรกิจ กระบวนการปฏิบัติงาน การเปลี่ยนแปลงทางด้านเทคโนโลยี หรือรายงานเหตุการณ์ละเมิดด้านความมั่นคงปลอดภัยข้อมูลส่วนบุคคล ซึ่งอาจเกี่ยวข้องกับนโยบายฉบับนี้

6. สถานที่ติดต่อ และวิธีการติดต่อ
   ในกรณีที่ท่านต้องการความช่วยเหลือจากบริษัทฯ ไม่ว่าในกรณีเกี่ยวกับข้อมูลเพิ่มเติม ความผิดพลาด ข้อสงสัยใดๆ ที่เกิดขึ้นโดยไม่ได้รับอนุญาตจากท่าน ท่านสามารถติดต่อบริษัทฯ ได้ดังนี้

• เว็บไซต์ศรีเจริญโบรกเกอร์ : www.sc-broker.com
• LINE ศรีเจริญโบรกเกอร์ ID : @SCBROKER
• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลขององค์กร (Data Protection Officer) ติดต่อผ่านช่องทาง E-mail: scinsure2542@gmail.com