นโยบายการคุ้มครองข้อมูลส่วนบุคคล
นโยบายการคุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
บริษัท เอส.ดับเบิลยู.ไนน์ทีน จำกัด ("บริษัท") ได้ตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลเป็นอย่างมาก และต้องการให้การกำกับดูแลและการบริหารจัดการข้อมูลส่วนบุคคลของบริษัทเป็นไปอย่างมีประสิทธิภาพและสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ฉบับแก้ไขเพิ่มเติม และกฎหมายอื่นที่เกี่ยวข้อง บริษัทจึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ฉบับนี้ ("นโยบาย") ขึ้น โดยมีวัตถุประสงค์หลักเพื่อกำหนดแนวทางและหลักปฏิบัติในการดำเนินการคุ้มครองข้อมูลส่วนบุคคลของผู้ที่มีส่วนเกี่ยวข้องกับการดำเนินธุรกิจและการบริหารจัดการของบริษัท และเพื่อทำให้เจ้าของข้อมูลส่วนบุคคลมีความมั่นใจว่าบริษัทมีมาตรการที่เหมาะสมในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล โปร่งใส มีการกำกับดูแลที่ดี และเป็นไปตามที่กฎหมายกำหนด ซึ่งมีสาระสำคัญดังต่อไปนี้
ขอบเขตการบังคับใช้
นโยบายฉบับนี้มีขอบเขตการบังคับใช้กับข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลทุกท่านที่บริษัทได้ทำการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลไว้เนื่องจากมีนิติสัมพันธ์ ทำธุรกิจ ทำธุรกรรม และ/หรือทำกิจกรรมต่างๆ กับบริษัท อาทิ ผู้ถือหุ้น ผู้บริหาร พนักงาน ลูกจ้าง ลูกค้า คู่ค้า คู่สัญญา ผู้ให้บริการ ผู้รับบริการ ผู้ว่าจ้าง ผู้รับจ้าง ตัวแทน ผู้มีส่วนได้เสีย ผู้เยี่ยมชมสถานที่ ผู้ดูงาน บุคคลที่เข้ามาติดต่อกับบริษัท เป็นต้น
คำนิยาม
"ข้อมูลส่วนบุคคล" (Personal Data)
หมายถึง ข้อมูลหรือรายละเอียดเกี่ยวกับบุคคลธรรมดาที่ทำให้สามารถระบุตัวตนของบุคคลธรรมดานั้นได้ ไม่ว่าโดยทางตรงหรือทางอ้อมก็ตาม โดยไม่รวมถึงข้อมูลส่วนบุคคลของผู้ถึงแก่กรรม
"ข้อมูลที่อ่อนไหว" (Sensitive Data)
หมายถึง ข้อมูลส่วนบุคคลที่มีความสำคัญซึ่งจะต้องได้รับความคุ้มครองและใช้ความระมัดระวังเป็นพิเศษ เนื่องจากสามารถส่งผลกระทบต่อความเป็นส่วนตัว ความปลอดภัยของเจ้าของข้อมูลส่วนบุคคล และสุ่มเสี่ยงต่อการเลือกปฏิบัติอย่างไม่เป็นธรรมได้
"การประมวลผลข้อมูลส่วนบุคคล" (Personal Data Processing)
หมายถึง การดำเนินการใดๆ กับข้อมูลส่วนบุคคล อาทิ เก็บรวบรวม ใช้ เปิดเผย บันทึก สำเนา จัดระเบียบ ปรับปรุง เปลี่ยนแปลง กู้คืน ส่งต่อ เผยแพร่ โอน รวม ลบ ทำลาย เป็นต้น
"เจ้าของข้อมูล" (Data Subject)
หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลระบุไปถึง แต่ไม่ใช่กรณีที่บุคคลเป็นผู้ถือข้อมูล (Ownership) หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง
"ผู้ควบคุมข้อมูล" (Data Controller)
หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล
"ผู้ประมวลผลข้อมูล" (Data Processor)
หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูล โดยบุคคลหรือนิติบุคคลดังกล่าวจะไม่เป็นผู้ควบคุมข้อมูล
"เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล" (DPO)
หมายถึง บุคคลที่ถูกแต่งตั้งให้มีหน้าที่ให้คำแนะนำและตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลให้ปฏิบัติกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
"กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล"
หมายถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และฉบับที่มีการแก้ไขเพิ่มเติมในอนาคต รวมถึงกฎหมายลำดับรองและกฎเกณฑ์ต่างๆ ที่เกี่ยวข้อง
แหล่งที่มาของข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลที่เก็บรวบรวมโดยตรงจากเจ้าของข้อมูล
- ข้อมูลส่วนตัว เช่น ชื่อ นามสกุล เพศ สัญชาติ วันเดือนปีเกิด อายุ สถานภาพสมรส รูปถ่าย ลายมือชื่อ ลายนิ้วมือ เป็นต้น
- ข้อมูลการระบุตัวตน เช่น เลขบัตรประจำตัวประชาชน เลขหนังสือเดินทาง เลขประจำตัวผู้เสียภาษีอากร เลขประจำตัวใบอนุญาต ทะเบียน รุ่น และสีของยานพาหนะ เป็นต้น
- ข้อมูลการติดต่อ เช่น ที่อยู่ อีเมล์ หมายเลขโทรศัพท์ บัญชีผู้ใช้งานสื่อสังคมออนไลน์ เป็นต้น
- ข้อมูลที่อ่อนไหว เช่น เชื้อชาติ เผ่าพันธุ์ ศาสนา ความเชื่อ ประวัติอาชญากรรม ความคิดเห็นทางการเมือง ประวัติสุขภาพ ข้อมูลทางการแพทย์ ข้อมูลความพิการ ข้อมูลทางชีวภาพ ข้อมูลเกี่ยวกับชีวิตเพศและรสนิยมทางเพศ เป็นต้น
- ข้อมูลการศึกษา เช่น หลักสูตรการศึกษา วุฒิการศึกษา สถาบันการศึกษา เป็นต้น
- ข้อมูลการทำงาน เช่น ประวัติการทำงาน ตำแหน่งงาน เงินเดือน สวัสดิการ เป็นต้น
- ข้อมูลทางการเงิน เช่น หมายเลขบัญชีเงินฝากธนาคาร ข้อมูลบัตรเครดิต รายได้ เป็นต้น
- ข้อมูลการวิจัยตลาด เช่น การสำรวจความคิดเห็น การวิเคราะห์พฤติกรรมการเลือกสินค้า การใช้บริการ และการให้บริการ การรับข้อมูลข่าวสาร เป็นต้น
ข้อมูลส่วนบุคคลที่เก็บรวบรวมโดยบริษัท
- ข้อมูลด้านความปลอดภัย เช่น ภาพจากกล้องวงจรปิด (CCTV) เป็นต้น
- ข้อมูลการสนทนา เช่น บันทึกภาพและเสียงการประชุม บันทึกภาพและเสียงการฝึกอบรมสัมมนา บันทึกเสียงการให้คำปรึกษา บันทึกเสียงบทสนทนา ข้อความบทสนทนาใน LINE, WhatsApp, Messenger เป็นต้น
- ข้อมูลที่จัดเก็บอัตโนมัติผ่านอุปกรณ์อิเล็กทรอนิกส์ เช่น IP Address, Cookies, Device IDs, Location Data, Log Files, System Information, App Data, Network Traffic Data เป็นต้น
ข้อมูลส่วนบุคคลที่เก็บรวบรวมจากแหล่งข้อมูลภายนอก
- ข้อมูลจากหน่วยงานทางราชการ เช่น กรมพัฒนาธุรกิจการค้า กรมที่ดิน กรมสรรพากร กรมบังคับคดี ศาล เป็นต้น
- ข้อมูลจากบุคคลที่สาม เช่น บริษัทคู่ค้า พันธมิตรทางธุรกิจ เป็นต้น
- ข้อมูลจากช่องทางออนไลน์ เช่น Facebook, YouTube, Instagram, Twitter, TikTok, LinkedIn, Pinterest เป็นต้น
วัตถุประสงค์และฐานการประมวลข้อมูลส่วนบุคคล
วัตถุประสงค์ที่บริษัทดำเนินการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลจะอาศัยฐานทางกฎหมาย ดังนี้
ฐานความยินยอม (Consent)
เช่น เพื่อเปิดเผยข้อมูลให้กับบริษัทในเครือ เพื่อวิเคราะห์และวิจัยพัฒนาสินค้า เพื่อการโฆษณาและประชาสัมพันธ์ เพื่อดำเนินการอื่นตามที่ได้รับความยินยอมจากเจ้าของข้อมูล เป็นต้น
ฐานการปฏิบัติตามสัญญา (Contract)
เช่น เพื่อทำให้บริษัทสามารถปฏิบัติหน้าที่ตามสัญญาระหว่างเจ้าของข้อมูลกับบริษัทได้ เพื่อดำเนินการตามคำร้องขอของเจ้าของข้อมูล เป็นต้น
ฐานการปฏิบัติตามกฎหมาย (Legal Obligation)
เช่น เพื่อปฏิบัติตามคำสั่งอันชอบด้วยกฎหมายของหน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐ เพื่อปฏิบัติตามกฎหมายหรือกฎระเบียบที่ใช้บังคับกับบริษัท เป็นต้น
ฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)
เช่น เพื่อควบคุมการเข้าถึงและรักษาความปลอดภัยของสถานที่ เพื่อป้องกันและบริหารจัดการความเสี่ยง การบันทึกภาพ CCTV เป็นต้น
ฐานการป้องกันหรือระงับอันตรายต่อชีวิต (Vital Interest)
เช่น เพื่อควบคุม เฝ้าระวัง และป้องกันโรคระบาด เพื่อแจ้งเตือนสถานการณ์ฉุกเฉิน เป็นต้น
ฐานประโยชน์สาธารณะ (Public Task)
เช่น เพื่อเก็บข้อมูลการแพร่ระบาดของโรค เพื่อป้องกันอาชญากรรม เพื่อคุ้มครองและรักษาสิ่งแวดล้อม เป็นต้น
การเก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่บริษัทได้ระบุไว้โดยชัดแจ้ง โดยบริษัทจะขอความยินยอมจากเจ้าของข้อมูลก่อนหรือในขณะที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีที่ได้รับการยกเว้นตามกฎหมายไม่ต้องขอความยินยอมจากเจ้าของข้อมูล
การเก็บรวบรวมข้อมูลที่อ่อนไหว
บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่บริษัทได้ระบุไว้โดยชัดแจ้ง โดยบริษัทจะขอความยินยอมจากเจ้าของข้อมูลก่อนหรือในขณะที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ และคนเสมือนไร้ความสามารถ
บริษัทจะขอความยินยอมจากผู้แทนโดยชอบธรรม ผู้อนุบาล หรือผู้พิทักษ์ (แล้วแต่กรณี) ก่อนหรือในขณะที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล
การใช้และการเปิดเผยข้อมูลส่วนบุคคล
บริษัทอาจมีความจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลให้แก่บริษัทในเครือ คู่สัญญา หน่วยงานทางราชการ และ/หรือบุคคลหรือนิติบุคคลอื่นที่เป็นพันธมิตรทางธุรกิจหรือทำงานร่วมกับบริษัท
การใช้และการเปิดเผยข้อมูลส่วนบุคคลจะทำเท่าที่จำเป็น เป็นไปอย่างจำกัด และเป็นไปตามวัตถุประสงค์ที่บริษัทได้แจ้งไว้กับเจ้าของข้อมูลก่อนหรือในขณะที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล
การใช้และเปิดเผยข้อมูลส่วนบุคคลโดยมีความจำเป็นหรือเพื่อประโยชน์อื่นที่มีความเกี่ยวข้องกับวัตถุประสงค์ที่บริษัทได้แจ้งไว้กับเจ้าของข้อมูล บริษัทจะขอความยินยอมจากเจ้าของข้อมูลก่อน เว้นแต่เป็นกรณีที่ได้รับการยกเว้นตามกฎหมายไม่ต้องขอความยินยอมจากเจ้าของข้อมูล
ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลเป็นระยะเวลาเท่าที่จำเป็นเพื่อวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลตามที่ระบุไว้ในนโยบายฉบับนี้ โดยหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บรักษา เช่น อายุความทางกฎหมาย เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อเหตุอื่นตามนโยบายและข้อกำหนดภายในของบริษัท เป็นต้น
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาที่กฎหมายกำหนดไว้โดยเฉพาะ เช่น พระราชบัญญัติการบัญชี พ.ศ. 2543 พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 พระราชบัญญัติความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ประมวลรัษฎากร เป็นต้น
กรณีที่ไม่สามารถระบุระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลได้อย่างชัดเจน บริษัทจะเก็บรักษาไว้ตามระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานการเก็บรวบรวมข้อมูล เช่น อายุความคดีแพ่ง 10 ปี เป็นต้น หรือจัดเก็บตามความจำเป็นที่เหมาะสมในการดำเนินธุรกิจและการบริหารจัดการงานของบริษัท
เมื่อพ้นระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล บริษัทจะดำเนินการลบ ทำลาย และ/หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้
กรณีมีข้อพิพาท การใช้สิทธิตามกฎหมาย หรือการดำเนินคดีความเกี่ยวกับข้อมูลส่วนบุคคล บริษัทขอสงวนสิทธิในการเก็บรักษาข้อมูลดังกล่าวต่อไปจนกว่าศาลจะมีคำสั่งหรือคำพิพากษาถึงที่สุด
การส่งหรือการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
กรณีที่บริษัทมีความจำเป็นจะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะดำเนินการต่างๆ เพื่อให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่ (1) เป็นการปฏิบัติตามกฎหมายที่เกี่ยวข้อง (2) ได้รับความยินยอมจากเจ้าของข้อมูลแล้ว (3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลเป็นคู่สัญญาหรือเพื่อดำเนินการตามคำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญา (4) เป็นการทำตามสัญญาระหว่างบริษัทกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูล (5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ และ/หรือ (6) เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
กรณีที่ประเทศปลายทางไม่มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ บริษัทจะขอความยินยอมจากเจ้าของข้อมูลก่อน และจะดำเนินการต่างๆ โดยไม่ขัดต่อบทบัญญัติของกฎหมายและตามที่เห็นว่าจำเป็นและเหมาะสมเพื่อทำให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปนั้นมีมาตรการคุ้มครองข้อมูลส่วนบุคคลตามมาตรฐานสากล เช่น การทำสัญญาเก็บรักษาความลับกับผู้รับข้อมูลในประเทศดังกล่าว เป็นต้น เพื่อทำให้ข้อมูลส่วนบุคคลมีความมั่นคงปลอดภัยอยู่เสมอ
การเชื่อมต่อกับระบบหรือการให้บริการภายนอก
บริษัทอาจมีการเชื่อมต่อกับระบบหรือการให้บริการภายนอก อาทิ ระบบอินเตอร์เน็ต ระบบออนไลน์ เซิร์ฟเวอร์ เว็บไซต์ แอพพลิเคชั่น คลาวด์ ลิงค์ เป็นต้น ซึ่งระบบหรือการให้บริการดังกล่าวอาจมีการประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีเนื้อหาสาระแตกต่างจากนโยบายฉบับนี้ บริษัทจึงขอเสนอแนะให้เจ้าของข้อมูลทำการศึกษารายละเอียดนโยบายการคุ้มครองข้อมูลส่วนบุคคลของระบบหรือการให้บริการดังกล่าวก่อนการเข้าใช้งาน ทั้งนี้ เจ้าของข้อมูลรับทราบและเข้าใจเป็นอย่างดีว่า บริษัทไม่มีความเกี่ยวข้องและไม่มีอำนาจควบคุมระบบหรือการให้บริการดังกล่าว และไม่สามารถรับผิดชอบความเสียหายหรือการกระทำใดที่เกิดจากระบบหรือการให้บริการนั้นได้
สิทธิตามกฎหมายของเจ้าของข้อมูลส่วนบุคคล
สิทธิในการขอถอนความยินยอม (Right to Withdrawal of Consent)
เจ้าของข้อมูลมีสิทธิถอนความยินยอมที่เคยให้ไว้กับบริษัทเมื่อใดก็ได้ เว้นแต่กรณีที่มีกฎหมายกำหนดให้บริษัทจำเป็นต้องเก็บรักษาข้อมูลส่วนบุคคลอยู่ หรือกรณีที่เจ้าของข้อมูลยังคงมีนิติกรรมสัญญาที่ทำกับบริษัทอยู่
สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (Right to Access)
เจ้าของข้อมูลมีสิทธิขอเข้าถึง รับสำเนา และขอให้เปิดเผยแหล่งที่มาของข้อมูลส่วนบุคคลของตนเองที่บริษัทเก็บรวบรวมไว้โดยเจ้าของข้อมูลไม่ได้ให้ความยินยอม เว้นแต่กรณีที่บริษัทมีสิทธิปฏิเสธตามกฎหมายหรือคำสั่งศาล หรือกรณีที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
สิทธิในการขอแก้ไขข้อมูลส่วนบุคคล (Right to Rectification)
เจ้าของข้อมูลมีสิทธิขอให้บริษัททำการแก้ไขข้อมูลส่วนบุคคลของตนเองที่ไม่ถูกต้อง ไม่สมบูรณ์ และไม่เป็นปัจจุบันได้ เพื่อป้องกันไม่ให้เกิดความเข้าใจผิด
สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล (Right to Erasure)
เจ้าของข้อมูลมีสิทธิขอให้บริษัทลบหรือทำลายข้อมูลส่วนบุคคลของตนเอง หรือทำให้ข้อมูลส่วนบุคคลของตนเองเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ ในกรณีที่ (1) ข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาตามวัตถุประสงค์ (2) เมื่อเจ้าของข้อมูลถอนความยินยอม (3) เมื่อเจ้าของข้อมูลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล และ/หรือ (4) เมื่อข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย
สิทธิในการระงับการประมวลผลข้อมูลส่วนบุคคล (Right to Restriction of Processing)
เจ้าของข้อมูลมีสิทธิขอให้ระงับการประมวลข้อมูลส่วนบุคคล ในกรณีที่ (1) บริษัทอยู่ในระหว่างการตรวจสอบคำร้องขอในการแก้ไขข้อมูลส่วนบุคคล (2) เมื่อข้อมูลส่วนบุคคลถูกเก็บรวบรวมโดยไม่ชอบด้วยกฎหมาย แต่เจ้าของข้อมูลขอให้ระงับการใช้แทน (3) ข้อมูลส่วนบุคคลหมดความจำเป็น แต่เจ้าของข้อมูลต้องการเก็บรักษาเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย และ/หรือ (4) บริษัทอยู่ในระหว่างการพิสูจน์ถึงเหตุอันชอบด้วยกฎหมาย
สิทธิในการคัดค้าน (Right to Objection)
เจ้าของข้อมูลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองเมื่อใดก็ได้ใน (1) กรณีที่ได้รับการยกเว้นไม่ต้องขอความยินยอม (2) กรณีเพื่อวัตถุประสงค์เกี่ยวกับตลาดแบบตรง และ/หรือ (3) กรณีเพื่อการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ
สิทธิในการรับ ส่ง หรือโอนข้อมูลส่วนบุคคล (Right to Portability)
เจ้าของข้อมูลมีสิทธิขอรับข้อมูลส่วนบุคคลที่อยู่ในรูปแบบที่สามารถอ่านหรือใช้งานได้โดยทั่วไปด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ รวมทั้งมีสิทธิขอให้บริษัทส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น เว้นแต่บริษัทไม่สามารถทำได้โดยสภาพทางเทคนิค
สิทธิในการตรวจสอบและยื่นข้อร้องเรียน
เจ้าของข้อมูลมีสิทธิตรวจสอบและยื่นข้อร้องเรียนกรณีมีเหตุเชื่อได้ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายที่เกี่ยวข้อง รวมถึงมีสิทธิได้รับแจ้งจากบริษัทกรณีเกิดการละเมิดข้อมูลส่วนบุคคลหรือเกิดการรั่วไหลที่มีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของบุคคล
มาตรการในการรักษาความปลอดภัยของข้อมูลส่วนบุคคล
บริษัทมีการกำหนดนโยบาย คู่มือและมาตรฐานในการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ทั้งมาตรการในการบริหารจัดการ (Organizational Measure) และมาตรการเชิงเทคนิค (Technical Measure) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยมิได้รับอนุญาตหรือการละเมิดข้อมูลส่วนบุคคล เช่น นโยบายการคุ้มครองข้อมูลส่วนบุคคล นโยบายการรักษาข้อมูลความลับ ระบบสารสนเทศในการรักษาความปลอดภัยที่เข้มงวด สัญญาการเก็บรักษาข้อมูลที่เป็นความลับ เป็นต้น โดยบริษัทได้มีการทบทวนและปรับปรุงเอกสารดังกล่าวอยู่เสมอ
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
บริษัทได้มีการดำเนินการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยแต่งตั้งให้มีผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller : DC) เพื่อตรวจสอบการดำเนินการของบริษัทที่เกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
การทบทวนและปรับปรุงแก้ไขนโยบาย
บริษัทจะทบทวนนโยบายการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อยปีละ 1 ครั้ง หรือเมื่อเกิดเหตุการณ์เปลี่ยนแปลงสำคัญที่มีผลกระทบกับนโยบายฉบับนี้อย่างมีนัยสำคัญซึ่งจำเป็นจะต้องได้รับการปรับปรุง เพื่อทำให้นโยบายฉบับนี้มีความถูกต้อง ครบถ้วนสมบูรณ์ เป็นปัจจุบัน และเหมาะสมกับสถานการณ์มากขึ้น โดยบริษัทจะประกาศนโยบายฉบับล่าสุดไว้บนเว็บไซต์ sw19.co.th และช่องทางการสื่อสารอื่นที่เหมาะสม เพื่อให้ทราบโดยทั่วกัน
ข้อมูลการติดต่อ
กรณีต้องการสอบถามรายละเอียดเพิ่มเติมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล การใช้สิทธิตามกฎหมาย การแจ้งเบาะแส และการยื่นข้อร้องเรียน โปรดติดต่อบริษัทตามช่องทางดังต่อไปนี้
ผู้ควบคุมข้อมูล
บริษัท เอส.ดับเบิลยู.ไนน์ทีน จำกัด
111/1 โครงการ 111 ประดิษฐ์มนูธรรม อาคาร B ห้องที่ 403-404 ถนนประดิษฐ์มนูธรรม แขวงลาดพร้าว เขตลาดพร้าว กรุงเทพมหานคร 10230