นโยบายคุ้มครองข้อมูลส่วนบุคคล

นโยบายคุ้มครองข้อมูลส่วนบุคคล (Data Privacy Policy)

นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy Policy)

  1. หลักการและเหตุผล

ด้วยความก้าวหน้าของเทคโนโลยีสารสนเทศ รวมทั้งระบบสื่อสารได้พัฒนาไปอย่างรวดเร็ว ทำให้การเข้าถึงการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล สามารถทำได้โดยง่าย สะดวก และรวดเร็ว อันอาจนำมาซึ่งความเสียหายต่อเจ้าของข้อมูล ประกอบกับได้มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้ตั้งแต่ 1 มิ.ย. 2565 เป็นต้นไป 

  1. วัตถุประสงค์

นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ จัดทำขึ้นโดยมีวัตถุประสงค์ ดังต่อไปนี้

  • เพื่อคุ้มครองข้อมูลส่วนของเจ้าของข้อมูลส่วนบุคคล ซึ่งเป็นบุคคลธรรมดาซึ่งทำธุรกรรมใช้บริการมีส่วนได้ส่วนเสีย หรือมีส่วนเกี่ยวข้องกับบริษัทฯ
  • เพื่อกำหนดบทบาทหน้าที่ของหน่วยงาน ผู้บริหาร พนักงาน ซึ่งมีส่วนเกี่ยวข้อกับข้อมูลส่วนบุคคล
  • เพื่อกำหนดขั้นตอนหรือมาตรการรักษาความปลอดภัยในการคุ้มครองข้อมูลส่วนบุคคล
  • เพื่อกำหนดแนวทางในการปฏิบัติงานของพนักงานซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล
  • เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลต่อเจ้าของข้อมูลส่วนบุคคล
  1. ขอบเขตการใช้

           ให้ประกาศฉบับนี้มีผลใช้บังคับกับผู้บริหาร และพนักงานทุกระดับของบริษัทนิวทรีเร จำกัดและบริษัทย่อย รวมถึงคู่ค้า ผู้ให้บริการ และผู้มีส่วนได้เสียกับบริษัทฯ โดยใช้บังคับกับทุกกิจกรรมการดำเนินงานของบริษัทฯที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

  1. คำนิยาม

“บริษัทฯ”                                              หมายความว่า บริษัทนิวทรีเร และบริษัทย่อยที่เกี่ยวข้องโดยมีเจ้าของเดียวกัน

“ข้อมูลส่วนบุคคล”                              หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวม                                                               ถึงข้อมูลของผู้ถึงแก่กรรม

“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว”  หมายความว่า ข้อมูลส่วนบุคคลทที่มีความเสี่ยงอาจถูกนำไปสู่การเลือกปฏิบัติอย่างไม่เป็นธรรม                                                                                     (Sensitive Data) ในที่นี้หมายถึง เชื้อชาติ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ                                                                   ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรืออื่นๆ ตามที่กฎหมายกำหนด

“เจ้าของข้อมูลส่วนบุคคล”                หมายความว่า บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล เป็นต้นว่า ลูกค้า คู่ค้า ผู้ใช้บริการ และพนักงาน

“ผู้ควบคุมข้อมูลส่วนบุคคล”              หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูล                                                                 ส่วนบุคคลในที่นี้หมายถึงบริษัทหน่วยงานพนักงานที่รับผิดชอบในข้อมูลส่วนบุคคลนั้น

“ผู้ประมวลผลข้อมูลส่วนบุคคล”       หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล                                                                    ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ในที่นี้หมายถึง คู่ค้า บุคคลหรือบริษัทภายนอกที่บริษัทฯ                                                                ได้ว่าจ้าง

“บุคคล”                                              หมายความว่า บุคคลธรรมดา

“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล”       หมายความว่า บุคคลซึ่งบริษัทฯแต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูล                                                                                                                 (Data Protection Officer: DPO) ส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

“ผู้ประสานงานข้อมูลส่วนบุคคล”              หมายความว่า บุคคลซึ่งถูกกำหนดหรือได้รับมอบหมายตามนโยบายฉบับนี้ (Data Protection                                                                                       Coordinator: DPC)

  1. การคุ้มครองข้อมูลส่วนบุคคล

            5.1  การเก็บรวบรวมข้อมูลส่วนบุคคล                                                                                                                                                                                          การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทำได้ภายใต้วัตถุประสงค์และเท่าที่จำเป็นตามกรอบวัตถุประสงค์หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวมรวม ถึงรายละเอียดดังต่อไปนี้                                                                                                                                                                                                                                                  1)  วัตถุประสงค์ของการเก็บรวบรวม                                                                                                                                                                                     2)  ระยะเวลาในการเก็บรวบรวมไว้                                                                                                                                                                                           3)  ประเภทของบุคคลหรือหน่วยงานซึ่งอาจมีการเปิดเผยข้อมูลส่วนบุคคล                                                                                                                       4)  ข้อมูลหรือช่องทางการติดต่อกับบริษัทฯ                                                                                                                                                                         5)  สิทธิของเจ้าของข้อมูลส่วนบุคคล                                                                                                                                                                                     6) แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดหรือเพื่อเข้าทำหรือปฏิบัติตามสัญญา

               ทั้งนี้เว้นแต่ในกรณีดังต่อไปนี้ ไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล                                                                                                     ก)  เพื่อประโยชน์สาธารณะ การศึกษาวิจัย การสถิติ หรือการปฏิบัติตามกฎหมาย                                                                                                             ข)  เป็นการดำเนินการเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล                                                         ค) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น                           ง) เป็นความจำเป็นตามหน้าที่ในการดำเนินการเพื่อประโยชน์สาธารณะหรือในการปฏิบัติหน้าที่ตามที่ได้รับมอบหมายจากภาครัฐ หรือเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งประโยชน์โดยชอบด้วยกฎหมายนั้นมีความสำคัญมากกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล

5.2 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)                                                                                                                                       บริษัทฯจะเก็บรวบรวมข้อมูลที่มีความอ่อนไหวตามความจำเป็น โดยต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ยกเว้นในกรณีที่กฎหมายกำหนดให้สามารถเก็บรวบรวมได้โดยไม่ต้องขอความยินยอม

5.3 การใช้และ/หรือการเปิดเผยข้อมูลส่วนบุคคล                                                                                                                                                                               การใช้และ/หรือการเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามวัตถุประงสค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะทำการเก็บรวบรวมหรือเป็นความจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายกำหนดให้ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมาย                                                                                                                                                                                                                                        บุคคลหรือนิติบุคคลอื่น ซึงได้รับข้อมูลส่วนบุคคลจากการที่เจ้าของข้อมูลส่วนบุคคลตกลงยินยอมให้เปิดเผยหรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ของเจ้าของข้อมูลส่วนบุคคลได้ตกลงยินยอมให้ไว้กับบริษัทฯและตามที่บุคคลหรือนิติบุคคลนั้นได้แจ้งไว้กับบริษัทฯ เท่านั้น

  1.  คุณภาพของข้อมูลส่วนบุคคล

                ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น ต้องถูกต้องเป็นปัจจุบัน สมบูรณ์ไม่ก่อให้เกิดความเข้าใจผิด และต้องดำเนินการจัดให้มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลสามารถร้องขอหรือแก้ไขข้อมูลส่วนบุคคลของตัวเองได้

  1. บทบาทหน้าที่และความรับผิดชอบ

                บริษัทฯ กำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องให้ความสำคัญและรับผิดชอบการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ อย่างเคร่งครัด โดยกำหนดให้บุคคลหรือหน่วยงานดังต่อไปนี้ ทำหน้าที่กำกับและตรวจสอบให้การดำเนินงานของบริษัทฯนั้นถูกต้องและเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด                                                                                                                                                                                                                                     7.1 ผู้ควบคุมข้อมูลส่วนบุคคล                                                                                                                                                                                                        7.1.1 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมและทบทวนมาตรการอย่างสม่ำเสมอ เพื่อให้มาตรการดังกล่าวมีประสิทธิภาพ ทันต่อเทคโนโลยีที่เปลี่ยนแปลงไป                                                                                                                                                       7.1.2 กำหนดขอบเขตการจัดการกับข้อมูลส่วนบุคคลที่ได้เปิดเผยต่อบุคคลหรือนิติบุคคลอื่น                                                                                           7.1.3 จัดให้มีระบบตรวจสอบการจัดการกับข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด                                                                                           7.1.4 บันทึกรายการเกี่ยวกับข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด                                                                                                                                   7.1.5 จัดทำข้อตกลงกับผู้ประมวลผลข้อมูลส่วนบุคคลนิติบุคคลหรือบุคคลภายนอกอื่นใด หากมีการเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคลที่ได้ว่าจ้างนิติบุคคลหรือบุคคลภายนอกอื่นใด โดย
ผู้ประมวลผลข้อมูล นิติบุคคล หรือบุคคลภายนอกดังกล่าว ต้องมีมาตรการรักษาความปลอดภัยในการเก็บรวบรวมใช้และ/หรือเปิดเผยข้อมูลส่วนบุคคล ต้องเป็นไปตามนโยบายฉบับนี้ และตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

                 7.2  ผู้ประมวลข้อมูส่วนบุคคล                                                                                                                                                                                                       7.2.1  ดำเนินการเกี่ยวกับการเก็บรวบรวม ใข้และ/หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล                                 7.2.2 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม                                                                                                           7.2.3 จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้

                 7.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)                                                                                                                                       7.3.1  จัดทำและทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล รวมถึงแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯให้ครบถ้วนและถูกต้องตามที่กฎหมายกำหนด                                                                                                                                                                                                                     7.3.2  ให้คำแนะนำในด้านต่างๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่ผู้บริหาร พนักงาน และ
คู่ค้าของบริษัทฯ                                                                                                                                                                                                                                             7.3.3  ตรวจตราการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล                                                                                   7.3.4  กำกับดูแลหน่วยงานต่างๆ ของบริษัทฯ บริษัทย่อย และคู่ค้าของบริษัทฯให้ดำเนินงานตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ                                                                                                                                                                                                                       7.3.5 รายงานการปฏิบัติหน่วยงานต่างๆ ของบริษัทฯ บริษัทย่อย และคู่ค้าของบริษัทฯต่อคณะเจ้าหน้าที่บริหาร                                                             7.3.6 ประสานจัดการเรื่องร้องเรียนหรือการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลที่ได้รับการติดต่อหรือร้องขอจากเจ้าของข้อมูลส่วนบุคคล                                                                                                                                                                                                                                                       7.3.7  ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ บริษัทย่อยและคู่ค้าของบริษัทฯ                                                                                                                             7.3.8  แจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถทำได้

     8. การรักษาความมั่นคงปลอดภัย

                เพื่อประโยชน์ในการรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคล บริษัทฯได้มีมาตรการ ดังนี้                                                                         8.1 กำหนดสิทธิในการเข้าถึงการใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล รวมถึงการแสดงหรือยืนยันตัวบุคคล ผู้เข้าถึงหรือใช้ข้อมูลส่วนบุคคล จัดให้มีมาตรการรักษาความปลอดภัย รวมถึงกระบวนการทบทวนและประเมินประสิทธิภาพของมาตรการรักษาความปลอดภัยดังกล่าว                                                                                                                                                                                                                                                   8.2  ในกรณีที่มีการฝ่าฝืน จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคล บริษัทฯจะดำเนินการตามนโยบายการละเมิดและข้อมูลรั่วไหล(Data Breach Handling Policy) และตามที่กฎหมายกำหนด หากการละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า ทั้งนี้บริษัทฯจะไม่รับผิดชอบในกรณีความเสียหายใดๆอันเกิดจากการที่เจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่นใดซึ่งได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล จงใจหรือประมาทเลินเล่อ หรือเพิกเฉยต่อมาตรการรักษาความปลอดภัย จนเป็นเหตุให้ข้อมูลส่วนบุคคลถูกใช้หรือเปิดเผยต่อบุคคลที่สามหรือบุคคลอื่นใด

     9. สิทธิของเจ้าของข้อมูลส่วนบุคคล

               เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอเข้าถึงข้อมูลส่วนบุคคลของตน ขอรับสำเนา ขอถอนความยินยอม คัดค้านการเก็บ การใช้ การเปิดเผย ขอให้ลบทำลายหรือพักการใช้ ขอแก้ไขข้อมูลให้เป็นปัจจุบัน ร้องเรียน หรือขอให้โอนข้อมูลส่วนบุคคลของตนไปยังผู้ควบคุมข้อมูลอื่น เว้นแต่เป็นการกระทบต่อสิทธิเสรีภาพของบุคคลอื่น เป็นการปฏิบัติหน้าที่เพื่อสาธารณะประโยชน์หรือตามกฎหมาย หรือเพื่อการศึกษาวิจัย ทั้งนี้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

  1. การร้องเรียน การแจ้งเบาะแส

              กรณีพบเหตุอันควรสงสัยหรือเชื่อว่ามีการละเมิดการเก็บรวบรวมใช้และ/หรือการเปิดเผยข้อมูลส่วนบุคคล หรือเจ้าของข้อมูลส่วนบุคคลประสงค์ที่จะร้องเรียนหรือใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ หรือตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 สามารถติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูส่วนบุคคลของบริษัทฯ ตามข้อมูลติดต่อด้านล่างนี้

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล                                                                                                                                                                                                                       บริษัท นิวทรีเร จำกัด                                                                                                                                                                                                                 เลขที่ 25/25 หมู่12 ต.บึงคำพร้อย อ.ลำลูกกา จ.ปทุมธานี 12150                                                                                                                                           เบอร์โทรศัพท์ 02-152-7273-5 ต่อ 24

                                                      ประกาศ ณ วันที่ 31 พฤษภาคม 2565 และให้มีผลตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป