นโยบายการคุ้มครองข้อมูลส่วนบุคคล
ข้อมูลสำคัญ
อนุมัติ ณ วันที่ |
อนุมัติโดยคณะกรรมการบริษัท เมื่อวันที่ 11 พฤษภาคม 2565 |
วัตถุประสงค์การใช้งาน |
แนวทางปฏิบัติ |
ผู้รับผิดชอบ* |
คณะกรรมการบริหารความยั่งยืนและความเสี่ยง |
ผู้ติดตามและรายงาน |
ฝ่ายเทคโนโลยีสารสนเทศ / ฝ่ายตรวจสอบภายใน / สำนักกฎหมายและงานกำกับกับดูแล |
* หมายเหตุ : ผู้รับผิดชอบ หมายถึง คณะกรรมการชุดย่อยซึ่งมีหน้าที่ จัดให้มีนโยบาย วางกรอบแนวทางการกำกับดูแลการดำเนินการที่เกี่ยวข้อง รวมถึง ทบทวน ให้ข้อเสนอแนะ ติดตาม และประเมินผลการดำเนินการของนโยบาย
หลักการและเหตุผล
ด้วยบริษัท เสริมสุข จำกัด (มหาชน) และบริษัทย่อย (รวมเรียกว่า “เสริมสุข”) ตระหนักและเคารพในความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลของกรรมการ ผู้บริหาร พนักงาน ผู้ถือหุ้น ลูกค้า คู่ค้า พันธมิตรทางธุรกิจ ผู้ใช้บริการ ผู้ให้บริการ และผู้มีส่วนได้เสียที่เป็นบุคคลธรรมดาของเสริมสุข เสริมสุขจึงมีนโยบายในการคุ้มครองข้อมูลส่วนบุคคล เพื่อป้องกันมิให้มีการนำข้อมูลส่วนบุคคลของบุคคลดังกล่าวไปใช้ในทางที่ไม่เหมาะสมและรักษาข้อมูลส่วนบุคคลดังกล่าวให้ปลอดภัยตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศที่เสริมสุขเข้าไปประกอบธุรกิจหรือดำเนินกิจกรรมต่าง ๆ และสอดคล้องกับมาตรฐานที่เป็นที่ยอมรับกันโดยทั่วไป
ขอบเขตนโยบาย
นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) ฉบับนี้นำมาใช้กับกรรมการของเสริมสุขทุกท่าน (“กรรมการ”) ผู้บริหารของเสริมสุข (พนักงานตั้งแต่ระดับผู้ช่วยผู้อำนวยการขึ้นไปจนถึงระดับกรรมการผู้จัดการ) (“ผู้บริหาร”) และพนักงานของเสริมสุขทุกคน (“พนักงาน”) และใช้กับทุกกิจการที่เสริมสุขมีอำนาจในการบริหาร เช่น บริษัทย่อย และกิจการร่วมค้า (Joint Ventures)
นอกจากนี้ เสริมสุขมุ่งหวังและส่งเสริมให้คู่ค้าและพันธมิตรทางธุรกิจของเสริมสุขที่เสริมสุขไม่มีอำนาจในการบริหารให้การสนับสนุนและปฏิบัติตามแนวนโยบายฉบับนี้
คำนิยาม
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
“คู่ค้า” หมายถึง ผู้รับเหมา ผู้รับเหมาช่วง ผู้แทนจำหน่ายสินค้า ผู้ค้าส่ง ผู้ผลิตสินค้า ผู้ผลิตสินค้าขั้นปฐมภูมิ ผู้รับแฟรนไชส์ ผู้รับอนุญาตให้ใช้สิทธิ นายหน้า และที่ปรึกษาที่ทำธุรกรรมร่วมกับเสริมสุข
“เจ้าของข้อมูล” หมายถึง บุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล
“บุคคล” หมายถึง บุคคลธรรมดา
“พันธมิตรทางธุรกิจ” หมายถึง ตัวแทนจำหน่ายสินค้าของเสริมสุข หุ้นส่วนในกิจการร่วมค้า และลูกค้า
วัตถุประสงค์และแนวทางปฏิบัติของนโยบายมีดังต่อไปนี้
- เสริมสุขจะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ภายใต้วัตถุประสงค์ ขอบเขต และวิธีการที่ชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส โดยในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เสริมสุขจะแจ้งวัตถุประสงค์และรายละเอียดตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้เจ้าของข้อมูลทราบ และขอความยินยอมจากเจ้าของข้อมูลก่อนหรือในขณะเก็บรวบรวม ใช้ หรือเปิดเผย ตามวิธีการที่เหมาะสมและสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอม กรณีเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว เสริมสุขจะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลก่อนหรือในขณะเก็บรวบรวม ใช้ หรือเปิดเผย เว้นแต่เป็นกรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอม
- เสริมสุขจะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งให้เจ้าของข้อมูลทราบ หากจะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้ดังกล่าว เสริมสุขจะแจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลทราบและขอความยินยอมจากเจ้าของข้อมูลโดยไม่ชักช้า เว้นแต่เป็นกรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอม
- เสริมสุขจะเก็บรวบรวมข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นแก่การดำเนินงานภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายที่เกี่ยวข้องกับการประกอบกิจการของเสริมสุข
- เสริมสุขจะดำเนินการให้ข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
- เสริมสุขจะจัดเก็บข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้แจ้งให้เจ้าของข้อมูลทราบหรือตามที่กฎหมายกำหนด
- เสริมสุขจะไม่ส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ เว้นแต่เป็นกรณีที่ได้รับยกเว้นตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือได้ปฏิบัติตามหลักเกณฑ์และวิธีการที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดแล้ว
- เจ้าของข้อมูลมีสิทธิในการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของตนซึ่งอยู่ในความรับผิดชอบของเสริมสุขได้ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด โดยเสริมสุขจะจัดให้มีมาตรการ ช่องทาง และวิธีการเพื่อให้เจ้าของข้อมูลใช้สิทธิดังกล่าวได้ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
- เสริมสุขจะจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
- เสริมสุขจะจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officers : DPO) เพื่อทำหน้าที่ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด และจะแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการในการติดต่อให้เจ้าของข้อมูลทราบตามวิธีการที่เหมาะสม
- เสริมสุขจะจัดให้มีระเบียบ แนวปฏิบัติหรือมาตรการต่าง ๆ ในการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
- เสริมสุขจะสื่อสารให้คู่ค้าและพันธมิตรทางธุรกิจดำเนินธุรกิจโดยปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
- เสริมสุขจะจัดให้มีกระบวนการการตรวจสอบด้านการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล การละเมิดข้อมูลส่วนบุคคล หรือการละเมิดสิทธิของเจ้าของข้อมูล เพื่อระบุประเด็นและประเมินความเสี่ยงและผลกระทบ
- กรรมการผู้จัดการและผู้บริหารมีหน้าที่ส่งเสริม สร้างความรู้ความเข้าใจและสนับสนุนให้ผู้ที่เกี่ยวข้องทุกคนปฏิบัติตามนโยบาย
- บุคคลที่กระทำการละเมิดนโยบายจะถูกส่งเข้าสู่กระบวนการพิจารณาความผิดทางวินัย เมื่อคณะกรรมการที่รับผิดชอบได้ตรวจสอบอย่างครบถ้วนแล้ว บุคคลผู้กระทำผิดจะถูกลงโทษตามกฎระเบียบข้อบังคับการทำงานของเสริมสุข และในกรณีที่การกระทำดังกล่าวเป็นการกระทำที่ผิดกฎหมาย ผู้กระทำความผิดอาจถูกดำเนินคดีตามกฎหมายต่อไป
- คณะกรรมการบริษัทจะสอบทานและทบทวนนโยบายให้ทันสมัยตามความเหมาะสม