บริษัท สกาย ซีซี จำกัด (ต่อไปนี้เรียกรวมว่า “บริษัท”) ซึ่งมีการใช้เทคโนโลยีสารสนเทศที่ทันสมัย รวมทั้งระบบการสื่อสารได้มีการพัฒนาไปอย่างรวดเร็ว บริษัทจึงให้ความสำคัญด้านการเคารพสิทธิในความเป็นส่วนตัวและการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของท่าน โดยได้กำหนดนโยบาย ระเบียบ และหลักเกณฑ์ต่างๆ ในการดำเนินงานของบริษัทเพื่อรักษาความปลอดภัยของข้อมูลส่วนบุคคล เพื่อให้ท่านได้มั่นใจว่า ข้อมูลส่วนบุคคลของท่าน บริษัทจะนำไปใช้ตรงตามความประสงค์ของท่าน และเป็นไปตามที่กฎหมายกำหนด
บริษัทได้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 และกฎหมาย กฎ ระเบียบ รวมถึงคำสั่งอื่นๆ ของหน่วยงานรัฐที่เกี่ยวข้อง (ต่อไปนี้รวมเรียกว่า “กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล”) จึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) (ต่อไปนี้เรียกว่า “นโยบาย”) นี้ขึ้น โดยนโยบายนี้ได้อธิบายถึงวิธีการที่บริษัทปฏิบัติต่อข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย รวมถึงสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น เพื่อให้เจ้าของข้อมูลได้รับทราบถึงนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของบริษัท บริษัทจึงประกาศนโยบาย ดังนี้
บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งบริษัทได้ใช้ดำเนินการเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย ข้อมูลส่วนบุคคล เพื่อประโยชน์ในการดำเนินงานของบริษัท เช่นการจัดซื้อจัดจ้าง การทำสัญญา การดำเนินกิจกรรมบริษัท การติดต่อประสานงานต่าง ๆ หรือเพื่อปรับปรุงคุณภาพการทำงานให้มีประสิทธิภาพมากยิ่งขึ้น เช่น การจัดทำฐานข้อมูล วิเคราะห์และพัฒนากระบวนการดำเนินงานของบริษัท และเพื่อวัตถุประสงค์อื่นใดที่ไม่ต้องห้ามตามกฎหมาย และ/หรือเพื่อปฏิบัติตามกฎหมายหรือกฎระเบียบที่เกี่ยวข้องต่อการดำเนินงานของบริษัท
บริษัทจะเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย ข้อมูลส่วนบุคคล ดังกล่าวตามเท่าที่เหมาะสม จำเป็นตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลหรือตามที่กฎหมายกำหนดไว้เท่านั้น จึงได้จัดทํานโยบายนี้ เพื่อคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ผู้มีส่วนได้ส่วนเสีย หรือที่มีส่วนเกี่ยวข้องกับบริษัท โดยมีวัตถุประสงค์ ดังนี้
1.1 เพื่อกําหนดบทบาทหน้าที่ความรับผิดชอบของหน่วยงาน และบุคลากร ผู้บริหาร พนักงาน และบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
1.2 เพื่อกําหนดขั้นตอน หรือมาตรการรักษาความมั่นคงปลอดภัยในการคุ้มครองข้อมูลส่วนบุคคล
1.3 เพื่อกําหนดแนวทางในการปฏิบัติงานของบุคลากรซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล
1.4 เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ต่อพนักงาน ลูกค้า คู่ค้า ผู้ใช้บริการ ตลอดจนบุคคลอื่นๆ ซึ่งมีส่วนได้ส่วนเสีย หรือเกี่ยวข้องกับข้อมูลส่วนบุคคล
2.1 ให้นโยบายฉบับนี้ มีผลใช้บังคับกับ กรรมการ ผู้บริหาร พนักงาน ลูกจ้าง และบุคคลที่มีส่วนเกี่ยวข้อง ตลอดจน คู่ค้า ผู้ให้บริการภายนอก และผู้มีส่วนได้ส่วนเสียกับบริษัท
2.2 ให้นโยบายฉบับนี้ มีผลใช้บังคับกับการดำเนินงานในทุกกิจกรรมของบริษัทที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
“บริษัท”
หมายความว่า
บริษัท สกาย ซีซี จำกัด
“ข้อมูลส่วนบุคคล”
(Personal Data )
หมายความว่า
ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว”
(Sensitive Data)
หมายความว่า
ข้อมูลส่วนบุคคลที่มีความเสี่ยงอาจถูกนำไปสู่การเลือกปฎิบัติอย่างไม่เป็นธรรม ในที่นี้หมายถึง เชื้อชาติ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
“เจ้าของข้อมูลส่วนบุคคล”
หมายความว่า
บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล ได้แก่ กรรมการบริษัท ลูกค้า คู่ค้า ผู้ใช้บริการ และพนักงานบริษัท
“ผู้ควบคุมข้อมูลส่วนบุคคล”
หมายความว่า
บุคคล หรือนิติบุคคลซึ่งมีอํานาจหน้าที่ตัดสินใจเกี่ยวกับ การเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล ในที่นี้หมายถึง บริษัท หน่วยงาน และพนักงานที่รับผิดชอบในข้อมูลส่วนบุคคลตามที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม
“ผู้ประมวลผลข้อมูลส่วนบุคคล”
หมายความว่า
บุคคลหรือนิติบุคคลซึ่งดําเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของผู้ควบคุมข้อมูล ส่วนบุคคล ในที่นี้หมายถึง คู่ค้า บุคคลหรือบริษัทภายนอกที่บริษัทได้ว่าจ้างให้ดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
“บุคคล”
หมายความว่า
บุคคลธรรมดา
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล”
(Data Protection Officer: DPO)
หมายความว่า
บุคคลซึ่งบริษัทแต่งตั้งให้ทําหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“การประมวลผลข้อมูล”
(Processing)
หมายความว่า
การปฏิบัติการ หรือส่วนหนึ่งของการปฎิบัติการซึ่งได้กระทำต่อข้อมูลส่วนบุคคลไม่ว่าด้วยวิธีอัตโนมัติหรือไม่ ได้แก่ การเก็บรวบรวม การแก้ไข การบันทึก การจัดเรียบเรียง การเก็บรักษา การเรียกดู การนำกลับมาใช้ใหม่ การพิมพ์ การทำให้เข้าถึง การส่ง การจัดวางให้ถูกตำแหน่ง การจำกัด การลบ การทำลาย รวมถึงการจัดทำ การเปิดเผยและรายงานเชิงสถิติ
4.1 การเก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทําได้ภายใต้วัตถุประสงค์และเท่าที่จําเป็นตามกรอบวัตถุประสงค์ หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะเก็บรวบรวม หรือตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล โดยมีรายละเอียดดังต่อไปนี้
1) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละประเภท
3) ระยะเวลาในการเก็บรวบรวมไว้
4) ประเภทของบุคคล หรือหน่วยงานซึ่งอาจมีการเปิดเผยข้อมูลส่วนบุคคล
5) ข้อมูลหรือช่องทางการติดต่อกับบริษัท
6) สิทธิของเจ้าของข้อมูลส่วนบุคคล
7) แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคล ตามที่กฎหมายกําหนด หรือเพื่อเข้าทํา หรือปฏิบัติตามสัญญา
เว้นแต่ หากเข้าเงื่อนไขดังต่อไปนี้ บริษัทดำเนินการได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ก) ฐานสัญญา (Contract) เป็นการจำเป็นเพื่อการปฏิบัติตามหน้าที่ซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
ข) ฐานหน้าที่ตามกฎหมาย (Legal Obligation) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
ค) ฐานภารกิจของรัฐ (Public Task) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
ง) ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
จ) ฐานประโยชน์อันชอบธรรม (Legitimate Interest) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
4.2 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)
บริษัทจะไม่เก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) ได้แก่ เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลชีวภาพ ข้อมูลอัตลักษณ์เสียง หรืออื่นๆ ตามที่กฎหมายกําหนด เป็นต้น เว้นแต่มีความจําเป็นต้องเก็บรวบรวม โดยต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล หรือตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ ยกเว้นในกรณีที่กฎหมายกําหนดให้สามารถ เก็บรวบรวมได้โดยไม่ต้องขอความยินยอม
4.3 การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล
การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคล ก่อนหรือในขณะทําการเก็บรวบรวม หรือเป็นการจําเป็น หรือตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายกําหนดให้ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมาย
บุคคล หรือนิติบุคคลอื่น ซึ่งได้รับข้อมูลส่วนบุคคลจากการที่เจ้าของข้อมูลส่วนบุคคลตกลงยินยอมให้เปิดเผย หรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ ซึ่งเจ้าของข้อมูลส่วนบุคคลได้ตกลงยินยอมให้ไว้กับบริษัทและตามที่บุคคล หรือนิติบุคคลนั้นได้แจ้งไว้กับบริษัทเท่านั้น
อย่างไรก็ตาม บริษัทอาจเปิดเผยข้อมูลส่วนบุคคล ภายใต้หลักเกณฑ์ที่กฎหมายกำหนด เช่น การเปิดเผยข้อมูลต่อหน่วยงานราชการ หน่วยงานภาครัฐ หน่วยงานกำกับดูแล รวมถึงในกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย เช่น การร้องขอข้อมูลเพื่อการฟ้องร้องหรือดำเนินคดีตามกฎหมาย หรือการร้องขอจากหน่วยงานเอกชน หรือบุคคลภายนอกอื่น ๆ ที่มีความเกี่ยวข้องกับกระบวนการทางกฎหมาย
4.4 การส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ
บริษัทอาจมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังบริษัทในเครือกิจการ/ธุรกิจเดียวกันที่อยู่ต่างประเทศ หรือไปยังผู้รับข้อมูลอื่นซึ่งเป็นส่วนหนึ่งของการดำเนินธุรกิจตามปกติของบริษัท เช่น การส่งหรือโอนข้อมูลส่วนบุคคลไปเก็บไว้บน server/cloud ในประเทศต่างๆ โดยบริษัทจะดูแลการส่งหรือโอนข้อมูลส่วนบุคคลภายใต้หลักเกณฑ์ที่กฎหมายกำหนด และจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เห็นว่าจำเป็นและเหมาะสมสอดคล้องกับมาตรฐานการประมวลผลข้อมูลส่วนบุคคลและการรักษาความลับ