1. See Detail

นโยบายคุ้มครองข้อมูลส่วนบุคคล

(Privacy Policy)

 

บริษัท พัมคิน คอร์ปอเรชัน จำกัด (“บริษัท”) ได้ให้ความสำคัญต่อการรักษาข้อมูลของลูกค้า ตลอดจนข้อมูลส่วนบุคคลทั้งของพนักงาน และผู้ที่เกี่ยวข้องทั้งหมดที่ได้รับความคุ้มครองทางกฎหมาย อาทิ ลูกค้า คู่ค้า ผู้รับจ้างเหมาบริการ เป็นต้น และบริษัทได้ยึดถือเป็นแนวปฏิบัติมาโดยตลอด บริษัทจึงได้มีการออกนโยบายคุ้มครองข้อมูลส่วนบุคคลเพื่อใช้เป็นทิศทางในการกำหนดแนวทางในการปฏิบัติ รวมถึงการควบคุมที่เกี่ยวข้องในการประมวลผลข้อมูล ทั้งการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล เพื่อให้มั่นใจได้ว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครองให้เป็นไปตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่นๆ ที่เกี่ยวข้อง ดังนี้

        1.       วัตถุประสงค์:

บริษัทได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลขึ้น เพื่อใช้เป็นทิศทาง และควบคุมการบริหารจัดการข้อมูลส่วนบุคคลของบริษัท ทั้งการจัดเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูล และการควบคุมการปฏิบัติงานภายในบริษัทในการให้ความคุ้มครองข้อมูลส่วนบุคคลของทุกคนให้เป็นไปตามที่กฎหมายกำหนด

        2.       คำนิยาม   

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“การประมวลผลข้อมูล” หมายความว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล

        3.       ขอบเขตการบังคับใช้นโยบาย

3.1 นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ให้บังคับใช้กับบริษัท และพนักงานของบริษัททั้งหมด

3.2 การคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ครอบคลุมการประมวลผลข้อมูลทั้งหมด ตั้งแต่การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูล ตลอดจนถึงการลบหรือทำลายข้อมูล

3.3 นโยบายการคุ้มครองข้อมูลส่วนบุคคลจะทำการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ทุกคน อาทิ ลูกค้า คู่ค้า ผู้รับจ้างเหมาบริการ พนักงาน เป็นต้น

        4.       หลักการในการคุ้มครองข้อมูลส่วนบุคคล

นโยบายฉบับนี้จัดทำขึ้นบนหลักการพื้นฐานของการคุ้มครองข้อมูลส่วนบุคคล และกำหนดเป็นแนวทางในการคุ้มครองข้อมูลส่วนบุคคล 7 ข้อ ดังนี้

4.1   การปฏิบัติที่เป็นไปตามกฎหมาย มีความเป็นธรรม และโปร่งใส (Lawfulness, fairness and transparency)

4.2   การประมวลผลข้อมูลตามวัตถุประสงค์ที่จำกัด ชัดเจน ไม่กระทำเกินกว่าที่กำหนดไว้ (Purpose limitation)

4.3   การจัดเก็บข้อมูลเฉพาะที่จำเป็นตามวัตถุประสงค์กำหนด (Data minimization)

4.4   ข้อมูลที่ประมวลผลมีความถูกต้อง เป็นปัจจุบัน (Accuracy)

4.5   การจัดเก็บข้อมูลไว้เท่าที่จำเป็น เมื่อสิ้นสุดความจำเป็นจะดำเนินการลบหรือทำลายข้อมูล (Storage limitation)

4.6   การดำเนินการคุ้มครองข้อมูลให้มีความมั่นคง ปลอดภัย และไม่มีการละเมิดข้อมูล (Integrity and confidentially)

4.7   การดำเนินการบนพื้นฐานของความรับผิดชอบต่อข้อมูล (Accountability)

        5.       วัตถุประสงค์ในการเก็บรวบรวมข้อมูล

บริษัทจะดำเนินการประมวลผลข้อมูลตามวัตถุประสงค์ที่จำกัด และมีความชัดเจน

5.1 การเก็บรวบรวมข้อมูลจะดำเนินการตามวัตถุประสงค์ที่กำหนดเท่านั้น และจะต้องมีการแจ้งวัตถุประสงค์การเก็บรวบรวมให้เจ้าของข้อมูลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูล

5.2 วัตถุประสงค์การเก็บรวบรวมข้อมูลของเจ้าของข้อมูลแต่ละประเภทจะระบุไว้ในระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่บริษัทกำหนดไว้

กรณีที่บริษัทมีการเก็บรวบรวมข้อมูลนอกเหนือจากวัตถุประสงค์ที่กำหนดไว้ระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลที่กำหนดไว้ บริษัทจะแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ ข้อมูลที่จัดเก็บรวบรวม และข้อมูลที่ใช้หรือเปิดเผยให้บุคคลอื่นก่อนหรือขณะที่ทำการเก็บข้อมูล

          6.       การประมวลผลข้อมูล

6.1      ประเภทของข้อมูล

บริษัทจะเก็บรวบรวมข้อมูลตามวัตถุประสงค์ที่กำหนด โดยแบ่งประเภทของข้อมูลตามประเภทของเจ้าของข้อมูล และระบุประเภทของข้อมูลที่เก็บรวบรวมไว้ในระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลแต่ละประเภท เช่น ข้อมูลยืนยันตัวตนหรือเฉพาะบุคคลของพนักงาน อาทิ  ชื่อ นามสกุล เลขที่บัตรประชาชน ที่อยู่ เบอร์โทรศัพท์ เบอร์บัญชีธนาคารในการจ่ายเงินเดือน เป็นต้น รวมถึงการแจ้งประเภทและข้อมูลที่จะเก็บข้อมูลให้กับเจ้าของข้อมูลทราบในหนังสือแจ้งการคุ้มครองข้อมูลส่วนบุคคล

6.2   ข้อมูลส่วนบุคคลของผู้เยาว์ หรือผู้ไร้ความสามารถ

บริษัทจะไม่เก็บรวบรวมข้อมูลของผู้เยาว์ หรือผู้ไร้ความสามารถโดยไม่ได้รับความยินยอมจากผู้ปกครอง หรือผู้อนุบาล ยกเว้นตามที่กฎหมายกำหนดให้ผู้เยาว์อาจให้ความยินยอมโดยลำพังได้ตามที่บัญญัติไว้ในมาตรา 22 มาตรา 23 หรือมาตรา 24 แห่งประมวลกฎหมายแพ่งและพาณิชย์

6.3   การเก็บรวบรวมข้อมูล

            การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทำภายใต้วัตถุประสงค์ และเพียงเท่าที่จำเป็นตามกรอบวัตถุประสงค์ หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม โดยต้องแจ้งวัตถุประสงค์ให้เจ้าของข้อมูลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูล

การเก็บรวบรวมข้อมูลจะต้องได้รับความยินยอมจากเจ้าของข้อมูล ยกเว้นตามที่กฎหมายกำหนดให้กระทำได้ เช่น ข้อมูลทั่วไปที่ไม่ต้องได้รับความยินยอมเป็นไปตามฐานสัญญา หรือเป็นไปตามที่กฎหมายกำหนด อาทิ การส่งข้อมูลการจ่ายค่าจ้างให้กรมสรรพากร เป็นต้น หรือหากเป็นข้อมูลอ่อนไหวที่ไม่ต้องได้รับความยินยอมตามฐานความจำเป็นเพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ เช่น ข้อมูลสุขภาพในการป้องกันโรคติดต่อ เป็นต้น

       บริษัทจะทำการเก็บรวบรวมข้อมูลโดยตรงจากเจ้าของข้อมูลเท่านั้น ยกเว้นตามที่กฎหมายกำหนดให้กระทำได้

6.4   การใช้หรือเปิดเผยข้อมูล

            การใช้หรือเปิดเผยข้อมูลส่วนบุคคล ต้องดำเนินการให้เป็นไปตามวัตถุประสงค์หรือมีความจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวม และต้องได้รับความยินยอมจากเจ้าของข้อมูลที่ให้ไว้ก่อนหรือขณะนั้นยกเว้นตามที่กฎหมายกำหนด เช่น เป็นข้อมูลที่เปิดเผยต่อสาธารณะโดยชอบด้วยกฎหมาย เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคล เป็นต้น

6.5   การส่งต่อข้อมูล

            บริษัทไม่มีการส่งหรือโอนข้อมูลไปต่างประเทศ แต่หากกรณีที่บริษัทจะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ บริษัทจะทำการประเมินประเทศปลายทางให้มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

6.6   การลบหรือทำลายข้อมูล

            บริษัทจะกำหนดระยะเวลาการลบหรือทำลายข้อมูลแต่ละประเภทไว้ในระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล และกำหนดมาตรการที่เหมาะสมในการควบคุมการลบข้อมูลให้เป็นไปตามที่กำหนด

6.7   การจ้างประมวลผล

       บริษัทจะกำหนดแนวปฏิบัติในการควบคุมให้ผู้รับจ้างประมวลผลให้มีการคุ้มครองข้อมูลส่วนบุคคลไม่น้อยกว่ามาตรการที่บริษัทกำหนด

       กรณีที่บริษัทมีการจ้างผู้อื่นมาเป็นผู้ประมวลข้อมูลส่วนบุคคล บริษัทจะพิจารณาจัดทำสัญญาการประมวลผล เพื่อใช้ในการควบคุมการจ้างประมวลผลข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครองตามที่กำหนด

         7.       มาตรการคุ้มครองข้อมูลส่วนบุคคล

 บริษัทจะกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลตามระดับความเสี่ยงของข้อมูล ทั้งข้อมูลที่เป็นเอกสาร และข้อมูลที่เป็นข้อมูลอิเล็กทรอนิกส์ โดยอย่างน้อยต้องมีการกำหนดการเข้าถึงข้อมูลส่วนบุคคลนั้นๆ (Access control) เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และบริษัทจะจัดให้มีการจัดการให้ข้อมูลมีความถูกต้อง และเป็นปัจจุบัน

         8.       การตรวจสอบ และการจัดการการละเมิด

8.1 บริษัทจะกำหนดมาตรการในการตรวจสอบระบบในการคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลยังคงได้รับการคุ้มครองให้มีความปลอดภัย

8.2 บริษัทจะกำหนดแนวปฏิบัติในการการจัดการการละเมิดเพื่อให้มั่นใจว่าการละเมิดนั้นจะได้รับการแก้ไขโดยเร็วที่สุด โดยมีการกำหนดผู้รับผิดชอบดูแลจัดการการละเมิด

8.3 หากเกิดการละเมิดข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมไว้ บริษัทจะแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยา

         9.       สิทธิของเจ้าของข้อมูล

บริษัทมีหน้าที่ในการรับรองและคุ้มครองสิทธิดังต่อไปนี้ของเจ้าของข้อมูล

9.1 สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของบริษัท หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม

9.2 สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากบริษัทได้

9.3 สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้

9.4 สิทธิขอให้บริษัทดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้

9.5 สิทธิขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลได้

9.6 สิทธิในการร้องขอให้มีการทำให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

บริษัทได้กำหนดระเบียบปฏิบัติในการบริหารจัดการขอใช้สิทธิ ทั้งกระบวนการตั้งแต่การขอใช้ การพิสูจน์ตัวตน การพิจารณาอนุมัติ และการแจ้งผลการดำเนินการ เพื่อให้มั่นใจว่าเจ้าของข้อมูลจะสามารถใช้สิทธิของตนได้ตามที่เจตนา รายละเอียดตามระเบียบปฏิบัติการขอใช้สิทธิของเจ้าของข้อมูลตามที่บริษัทกำหนด

         10.   การร้องเรียน

กรณีที่ท่านพบว่าบริษัทไม่ได้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านสามารถร้องเรียนมาที่บริษัทตามช่องทางการติดต่อที่กำหนดไว้ในข้อ 14 ของนโยบายฉบับนี้

         11.   การกำหนดข้อกำหนด หรือระเบียบแนวปฏิบัติ

บริษัทจะจัดทำ ข้อกำหนด หรือระเบียบปฏิบัติภายใต้นโยบายนี้ เพื่อใช้เป็นแนวทางให้พนักงานของบริษัทปฏิบัติตาม และควบคุมการปฏิบัติงานของพนักงานให้เป็นไปตามที่กฎหมายกำหนด

         12.   โทษ

พนักงานที่ฝ่าฝืน ไม่ปฏิบัติตามนโยบาย ข้อกำหนด และระเบียบปฏิบัติ รวมถึงกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้มีความผิดทางวินัย และหากเป็นความทางกฎหมายให้มีความผิดตามกฎหมายด้วย

          13.   การปรับปรุงแก้ไขนโยบาย และระเบียบแนวปฏิบัติ

บริษัทจะพิจารณาแก้ไขปรับปรุงนโยบาย ตลอดจนข้อกำหนด ระเบียบปฏิบัติ และแบบฟอร์มต่างๆ โดยคำนึงถึงความถูกต้อง เหมาะสม เพียงพอ และประสิทธิภาพของการคุ้มครองข้อมูลส่วนบุคคล และจะทำการแจ้งให้ทราบผ่านช่องทางเว็บไซต์ของบริษัท

          14.   การติดต่อ

เจ้าของข้อมูล หรือผู้ร้องเรียน สามารถติดต่อบริษัทในเรื่องข้อมูลส่วนบุคคลได้โดยแจ้งที่

บริษัท พัมคิน คอร์ปอเรชัน จำกัด เลขที่ 4 ซอยพระรามที่ 2 ซอย 54 แยก 4-13 แขวงแสมดำ เขตบางขุนเทียน

กรุงเทพฯ 10150 เบอร์โทร 02 899 5928  Email: pdpa@pumpkin.co.th

                                                                     ประกาศ และให้มีผล ณ วันที่ 1 มิถุนายน 2565