นโยบายความเป็นส่วนตัว
ไทยลอตเต้ขอประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และป้องกันการรั่วไหลของข้อมูลส่วนบุคคลของลูกค้า คู่ค้า หรือบุคคลใดๆที่ติดต่อกับทางบริษัท เพื่อให้เกิดความมั่นใจว่าบุคคลดังกล่าวจะได้รับความคุ้มครองสิทธิอย่างครบถ้วนตามกฎหมาย ทางบริษัทจึงใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อการบริหารจัดการข้อมูลส่วนบุคคล ดังนี้
1.คำนิยาม
ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลที่เกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ IP Address
ข้อมูลอ่อนไหว (Sensitive Data) หมายถึง ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่กฎหมายกำหนดขึ้น
เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลคามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer ) หมายถึง บุคคลหรือนิติบุคคลผู้ที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล แต่งตั้งขึ้นเพื่อให้คำแนะนำและตรวจสอบการดำเนินงานเพื่อให้การเก็บรวบรวมใช้และเปิดเผยประมวลผลข้อมูลส่วนบุคคลเป็นไปตามคำข้อกำหนดของทางการ รวมทั้งเป็นผู้ประสานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
2. วัตุถุประสงค์
เพื่อคุ้มครองข้อมูลส่วนบุคคลและกำหนดแนวทางระเบียบปฎิบัติงานให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคค พ.ศ. 2562 โดยจัดให้มี ระบบบริหารข้อมูลส่วนบุคคล โครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล เพื่อกำหนดวิธีการและมาตรการ ที่เหมาะสมในการปฏิบัติตามกฎหมาย รวมทั้งกำหนดหน้าที่และความรับผิดชอบ ของผู้ปฏิบัติงานที่เกี่ยวข้องให้ชัดเจน เพื่อกำกับดูแล การควบคุม การปฏิบัติงาน การบังคับใช้ และการติดตามมาตรการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
3. กฎหมายที่ใช้บังคับ
บริษัทได้จัดทำระบบบริหารจัดการข้อมูล ระเบียบและวิธีปฎิบัติภายใต้บังคับของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
4. ขอบเขตการใช้บังคับ
ระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลนี้ใช้บังคับกับบริษัทไทยลอตเต้ พนักงาน และ ผู้ที่เกี่ยวข้องทั้งหมด อาทิ ลูกค้า คู่ค้า หรือบุคคลใดๆที่ติดต่อกับทางบริษัท เป็นต้น
5.หลักเกณฑ์การบริหารข้อมูลส่วนบุคคล
ไทยลอตเต้จะใช้ข้อมูลส่วนบุคคล ตามหลักเกณฑ์ในการประมวลผลข้อมูลส่วนบุคคล ให้ถูกต้องตามกฎหมาย และคำนึงถึงความถูกต้องของ ข้อมูลส่วนบุคคล โดยจะต้องแจ้งเจ้าของข้อมูลให้ทราบถึง ขอบเขตวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคล และระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล ระยะเวลาในการจัดเก็บ ประเภทของบุคคลหรือหน่วยงานซึ่งอาจมีการเปิดเผยข้อมูลส่วนบุคคล ช่องทางการติดต่อกลับ สิทธิของเจ้าของข้อมูลส่วนบุคคล ผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล ตามกฎหมายหรือเพื่อเข้าทำหรือปฎิบัติตามสัญญา ให้ทำได้เท่าที่จำเป็นภายใต้วัตถุประสงค์หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม เว้นแต่กรณีกฎหมายกำหนดให้ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหรือปฎิบัติตามกฎหมาย โดยต้องแจ้งให้เจ้าของข้อมูลทราบก่อนหรือในขณะเก็บรวบรวม เช่น
-
(1)จำเป็นเพื่อปฎิบัติตามสัญญาหรือคำร้องขอของเจ้าของข้อมูลส่วนบุคคล
-
(2)จำเป็นเพื่อปฎิบัติตามกฎหมายที่บริษัทต้องปฎิบัติ
-
(3)จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือของบุคคลอื่น
-
(4)จำเป็นเพื่อประโยชน์สาธารณะ
-
(5)จำเป็นเพื่อระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของวเจ้าของข้อมูล
-
(6)โดยความยินยอมของเจ้าของข้อมูลส่วนบุคคล
6. แนวทางปฎิบัติในการประมวลผลข้อมูลส่วนบุคคล
-
(1)ไทยลอตเต้จะจัดให้มีกระบวนการและการควบคุมเพื่อบริหารจัดการข้อมูลส่วนบุคคลในทุกขั้นตอน ให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของไทยลอตเต้
-
(2)ไทยลอตเต้จะจัดให้มีกระบวนการที่ชัดเจนเพื่อให้มั่นใจได้ว่า ได้มีการแจ้งวัตถุประสงค์การเก็บรวบรวมและรายละเอียดการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices) และการขอความยินยอม(Consent) จากเจ้าของข้อมูลส่วนบุคคลสอดคล้องกับกฎหมาย รวมทั้งจัดให้มีมาตรการดูแลและตรวจสอบ รวมทั้งดำเนินการตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น การถอนคำยินยอม การแก้ไข เปลี่ยนแปลง หรือลบ ทำลายข้อมูลส่วนบุคคลตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ พร้อมทั้งบันทึกรายการและจัดเก็บหลักฐานในการกระทำดังกล่าวไว้
-
(3)ในกรณีที่ไทยลอตเต้ส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล ไทยลอตเต้จะจัดทำข้อตกลงกับผู้ที่รับหรือใช้ข้อมูลส่วนบุคคลนั้นเพื่อกำหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมาย และนโยบาย การคุ้มครองข้อมูลส่วนบุคคลของไทยลอตเต้
-
(4)ในกรณีที่ไทยลอตเต้ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ไทยลอตเต้จะปฏิบัติให้สอดคล้อง กับกฎหมาย
-
(5)ไทยลอตเต้จะทำลายข้อมูลส่วนบุคคลเมื่อครบกำหนดระยะเวลา โดยปฏิบัติให้สอดคล้องกับกฎหมายและแนวทางการดำเนินธุรกิจของไทยลอตเต้
-
(6)ไทยลอตเต้จะให้มีการตรวจประเมินระบบภายใน(Internal Audit) เป็นประจำทุกปี
-
(7)ไทยลอตเต้จะจัดให้มีการประชุมผู้บริหาร/คณะกรรมการ เพื่อพิจารณาการดำเนินงานและทบทวนระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อยปีละครั้งเพื่อให้การควบคุมและดำเนินการตามระบบบริหารจัดการข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพเพื่อจะได้มีการแต่งตั้งผู้แทนฝ่ายบริหารและระบบบริหารจัดการดูแลและควบคุมระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล
-
(8)ไทยลอตเต้จะจัดให้มีการอบรมพนักงานเพื่อความรู้ความเข้าใจในกฎระเบียบข้อปฎิบัติและกฎหมาย
7. หน้าที่และความรับผิดชอบ
(1)คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ (Personal Data Protection Management Committee)โดยมีหน้าที่ และความรับผิดชอบดังต่อไปนี้
-
จัดให้มีโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคลและการควบคุมภายในที่เกี่ยวข้อง การกำหนดนโยบายและระเบียบปฎิบัติ การบริหารความเสี่ยงจากการถูกละเมิดข้อมูลส่วนบุคคล และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้อง กับข้อมูลส่วนบุคคล และกำหนดมาตราการในการแก้ไขได้อย่างทันท่วงที
-
เป็นผู้ตรวจประเมินระบบภายใน (Internal Audit) ประสิทธิภาพการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล และรายงานผลการประเมินดังกล่าวให้คณะกรรมการบริษัทและผู้บริหาร ทราบเป็นประจำอย่างน้อย 1 ครั้งต่อปี รวมถึงควบคุมดูแลให้มั่นใจได้ว่าความเสี่ยงต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้รับ การจัดการและมีแนวทางการบริหารความเสี่ยงที่เหมาะสม(ทุก 2 ปี)
-
กำหนดและทบทวนมาตรฐานการปฏิบัติงาน และแนวปฏิบัติ เพื่อให้การดำเนินงานของไทยลอตเต้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูล ส่วนบุคคลของไทยลอตเต้
-
แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล(Data Protection Officer : DPO )ของไทยลอตเต้
-
ฝึกอบรมพนักงานของไทยลอตเต้อย่างสมํ่าเสมอ เพื่อให้พนักงานของไทยลอตเต้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และทำให้มั่นใจได้ว่าพนักงานของ
(2)เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO )เป็นผู้รับผิดชอบมีอำนาจและหน้าที่ ตามที่กฎหมายกำหนด ซึ่งรวมถึงหน้าที่ดังต่อไปนี้
-
รายงานสถานะการคุ้มครองข้อมูลส่วนบุคคลให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบอย่างสมํ่าเสมอ และจัดทำข้อเสนอแนะเพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของไทยลอตเต้ให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ
-
ให้คำแนะนำพนักงานของไทยลอตเต้เกี่ยวกับการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของไทยลอตเต้
-
ตรวจสอบการดำเนินงานของหน่วยงานในไทยลอตเต้ให้เป็นไปตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของไทยลอตเต้
8.สิทธิของเจ้าของข้อมูล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอเข้าถึงข้อมูลส่วนบุคคลของตน ขอรับสำเนา ขอถอนความยินยอม คัดค้าน การเก็บ การใช้ การเปิดเผย ขอให้ลบทำลายหรือพักการใช้ ขอแก้ไขข้อมูลให้เป็นปัจจุบัน ร้องเรียน หรือขอให้โอนข้อมูลส่วนบุคคลของตนไปยังผู้ควบคุมข้อมูลอื่น เว้นแต่เป็นการกระทบต่อสิทธิเสรีภาพของบุคคลอื่น เป็นการปฎิบัติหน้าที่เพื่อสาธารณะประโยชน์หหรือตามกฎหมาย หรือเพื่อการศึกษา ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
9.ขั้นตอนและวิธีการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
ไทยลอตเต้จะจัดให้มีช่องทางรับเรื่องแจ้งเหตุละเมิดข้อมูลส่วนบุคคล ดังนี้
(1) เจ้าของข้อมูลซึ่งเชื่อว่าข้อมูลส่วนบุคคลของตนถูกเก็บรวบรวมใช้หรือ หรือเปิดเผยโดยฝ่าฝืนกฎหมายหรือ ระเบียบปฏิบัติการคุ้มครองข้อมูลของบริษัทที่กำหนดและมีความประสงค์ที่จะใช้สิทธิของตนสามารถยื่นคำร้องต่อเจ้าหน้าที่คุ้มครองข้อมูลของบริษัทหรือเจ้าพนักงานคุ้มครองข้อมูลสำนักงานคุ้มครองข้อมูลส่วนบุคคลโดยตรงโดยผ่านจดหมายอีเมล
(2) พนักงานของบริษัทซึ่งเชื่อว่าข้อมูลส่วนบุคคลของตนถูกเก็บรวบรวมใช้หรือเปิดเผยอาจไม่เหมาะสมสามารถขอใช้สิทธิของตนได้ที่ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
(3) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะพิจารณารวบรวมข้อมูลและแจ้งไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมงนับแต่ทราบเหตุ หากการละเมิดข้อมูลอาจกระทบสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมถึงแจ้งไปยังเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงเหตุแห่งการละเมิดข้อมูลส่วนบุคคลและมาตราการในการแก้ไขบรรเทาเหตุดังกล่าวโดยไม่ชักช้า
10.การจัดอบรม
ไทยลอตเต้จะจัดให้มีการอบรมและประเมินผลการดำเนินการตามระบบบริหารข้อมูลส่วนบุคคลแก่ผู้บริหารและพนักงานทุกคนของบริษัทว่าได้รับข้อมูลที่เพียงพอ รวมถึงการดำเนินการตามที่จำเป็นเพื่อให้พนักงานได้รับทราบและตระหนักถึงการคุ้มครองข้อมูลส่วนบุคคล โดยพนักงานของบริษัทซึ่งมีหน้าที่การประมวลผลข้อมูลส่วนบุคคลจะต้องได้รับการอบรมและสร้างความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รายละเอียดตามระเบียบการจัดอบรมพนักงานตามระบบบริหารจัดการของคุ้มครองข้อมูลส่วนบุคคลที่บริษัทกำหนด
11.บทลงโทษการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
การไม่ปฏิบัติตาม ละเลยหรือละเว้นหน้าที่ที่รับผิดชอบตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของไทยลอตเต้อาจมีความผิดและถูกลงโทษทางวินัย รวมทั้งอาจได้รับโทษตามพระราชบัญญัติคุ้มครองข้อมูลส่วน พ.ศ. 2562 หากกรณีก่อให้เกิดความเสียหายแก่บริษัท หรือบุคลลอื่นใด ทางบริษัทอาจดำเนินคดีทั้งทางแพ่งในการฟ้องร้องเรียกค่าเสียหาย และการดำเนินคดีทางอาญาตามที่กฎหมายบัญญัติไว้
12.ช่องทางในการติดต่อ และร้องเรียน
เจ้าของข้อมูลหรือผู้ร้องเรียน สามารถติดต่อบริษัทในเรื่องข้อมูลส่วนบุคคลได้โดยแจ้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท หรือคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เบอร์โทรศัพท์ 02-0291415 ต่อ 251
