นโยบายความเป็นส่วนตัว

ประกาศ

บริษัท แอล.เค.เอส. ฟู้ด เมคเกอร์ จำกัดและร้านค้าในเครือ

ที่  6/2565

 

เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy policy)

หลักการและเหตุผล

ด้วยความก้าวหน้าของเทคโนโลยีสารสนเทศ รวมทั้งระบบสื่อสารได้พัฒนาไปอย่างรวดเร็ว ทำให้การ

เข้าถึงการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล สามารถทำได้โดยง่าย สะดวก และรวดเร็ว อันอาจนำมาซึ่งความเสียหายต่อเจ้าของข้อมูล ประกอบกับได้มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 แล้วนั้น

 

บริษัทได้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ซึ่งเป็นสิทธิขั้นพื้นฐานสำคัญในความเป็นส่วนตัว (Privacy Right) ที่ต้องได้รับความคุ้มครองตามรัฐธรรมนูญแห่งราชอาณาจักรไทย และหลักปฏิญญาสากลว่าด้วยสิทธิมนุษยชน (Universal Declaration of Human Rights) ซึ่งบุคคลใดจะถูกแทรกแซงตามอำเภอใจในความเป็นส่วนตัว ครอบครัว ที่อยู่อาศัย หรือการสื่อสาร หรือจะถูกลบหลู่เกียรติยศและชื่อเสียงไม่ได้ ทุกคนมีสิทธิที่จะได้รับความคุ้มครองตามกฎหมาย ต่อการแทรกแซงสิทธิหรือการลบหลู่ดังกล่าวนั้น รวมถึงเพื่อสนับสนุนและเคารพการปกป้องสิทธิมนุษยชนตามที่ประกาศใช้ในระดับสากล ตามหลักการของข้อตกลงโลกแห่งสหประชาชาติ (UN Global Compact) รวมถึงตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทจึงได้ประกาศนโยบายเพื่อเป็นหลักในการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ดังนี้

 

วัตถุประสงค์

นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ จัดทำขึ้นเพื่อวัตถุประสงค์ ดังต่อไปนี้

2.1.เพื่อคุ้มครองข้อมูลส่วนของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นบุคคลธรรมดาซึ่งทำธุรกรรม ใช้บริการ มี

ส่วนได้ส่วนเสีย หรือที่มีส่วนเกี่ยวข้องกับบริษัท ได้แก่แต่ไม่จำกัดเพียงบุคคลดังต่อไปนี้

  1.       ลูกค้า
  2.       พนักงาน
  3.       ผู้ถือหุ้น
  4.       นักลงทุน เจ้าหนี้ ลูกหนี้
  5.       คู่ค้า พันธมิตรทางธุรกิจ
  6.       บุคคลที่บริษัทได้ว่าจ้างให้ดำเนินงานตามวัตถุประสงค์ของบริษัท เช่น ที่ปรึกษาด้านวิชาชีพ ผู้ให้บริการด้านระบบเทคโนโลยีสารสนเทศ เป็นต้น
  7.       บุคคลที่เข้าชมเว็บไซต์หรือแอปพลิเคชันของบริษัท
  8.       บุคคลที่เข้ามาติดต่อหรือใช้บริการสำนักงาน อาคารหรือสถานที่ของบริษัท
  9.       ครอบครัวพนักงาน ผู้รับผลประโยชน์ตามกรมธรรม์ประกันชีวิต ประกันวินาศภัยที่บริษัทจัดทำให้
  10.    บุคคลที่ถูกอ้างอิง เช่น บุคคลที่ถูกอ้างอิงในการสมัครงาน การเสนอขายสินค้าและบริการกับบริษัท เป็นต้น

ü  เพื่อกำหนดบทบาทหน้าที่ ของหน่วยงาน ผู้บริหาร พนักงาน ซึ่งมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล

ü  เพื่อกำหนดขั้นตอนหรือมาตรการรักษาความปลอดภัยในการคุ้มครองข้อมูลส่วนบุคคล

ü  เพื่อกำหนดแนวทางในการปฏิบัติงานของพนักงานซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล

ü  เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ต่อเจ้าของข้อมูลส่วนบุคคล

ขอบเขตการใช้

ให้ประกาศฉบับนี้มีผลใช้บังคับกับคณะกรรมการกรรมการผู้บริหารและพนักงานทุกระดับของบริษัท

บริษัท แอล.เค.เอส. ฟู้ด เมคเกอร์ จำกัดและร้านค้าในเครือ รวมถึงคู่ค้า ผู้ให้บริการ และผู้มีส่วนได้ส่วนเสียกับบริษัท โดยใช้บังคับกับทุกกิจกรรมการดำเนินงานของบริษัทที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

 

คำนิยาม

“บริษัท” หมายความว่า บริษัท แอล.เค.เอส. ฟู้ด เมคเกอร์ จำกัดและร้านค้าในเครือ

“บริษัทในเครือ” หมายความว่า บริษัทจำกัด ซึ่งอยู่ภายใต้การควมคุมของบริษัท โดยมีลักษณะ   เป็นไปตามประกาศคณะกรรมการบริษัทฯ

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลที่สามารถทำให้ระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม

“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายความว่า ข้อมูลส่วนบุคคลที่มีความเสี่ยงอาจนำไปสู่การเลือกปฏิบัติอย่างไม่เป็นธรรม (Sensitive Data) ในที่นี้หมายถึงเชื้อชาติศาสนาพฤติกรรมทางเพศประวัติอาชญากรรมข้อมูลสุขภาพความพิการข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรืออื่น ๆ ตามที่กฎหมายกำหนด

“เจ้าของข้อมูลส่วนบุคคล” หมายความว่าบุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลเป็นต้นว่าลูกค้าคู่ค้าผู้ใช้บริการและพนักงาน

“ผู้ควบคุมข้อมูลส่วนบุคคล“ หมายความว่าบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล ในที่นี้หมายถึง บริษัทหน่วยงาน พนักงานที่รับผิดชอบในข้อมูลส่วนบุคคลนั้น

 

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่าบุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ในที่นี้หมายถึง คู่ค้า บุคคลหรือบริษัทภายนอกที่บริษัทได้ว่าจ้าง

“บุคคล” หมายความว่า บุคคลธรรมดา

“บุคคลผู้หย่อนความสามารถ”             หมายความว่าบุคคลซึ่งเป็นผู้เยาว์เป็นคนไร้ความามารถหรือ เสมือนไร้ความสามารถตามประมวลกฎหมายแพ่งและพาณิชย์

“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล”   หมายความว่า บุคคลซึ่งบริษัทแต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่ (Data Protection Officer : DPO)       คุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

“ผู้ประสานงานข้อมูลส่วนบุคคล”        หมายความว่า บุคคลซึ่งถูกกำหนดหรือได้รับมอบหมายตาม  

(Data Protection Coordinator : DPC)    นโยบายฉบับนี้

 

การคุ้มครองข้อมูลส่วนบุคคล

 

5.1 การเก็บรวบรวมข้อมูลส่วนบุคคล

การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทำภายใต้วัตถุประสงค์และเท่าที่จำเป็นตามกรอบวัตถุประสงค์หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวม ถึงรายละเอียดดังต่อไปนี้

  1.       วัตถุประสงค์ของการเก็บรวบรวม
  2.       ระยะเวลาในการเก็บรวบรวมไว้
  3.       ประเภทของบุคคลหรือหน่วยงานซึ่งอาจมีการเปิดเผยข้อมูลส่วนบุคคล
  4.       ข้อมูลหรือช่องทางการติดต่อกับบริษัท
  5.       สิทธิของเจ้าของข้อมูลส่วนบุคคล
  6.       แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด หรือเพื่อเข้าทำหรือปฏิบัติตามสัญญา
  7.       เพื่อประโยชน์สาธารณะ การศึกษาวิจัย การสถิติ หรือการปฏิบัติตามกฎหมาย
  8.       เป็นการดำเนินการเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล
  9.       เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
  10.    เป็นการจำเป็นตามหน้าที่ในการดำเนินการเพื่อประโยชน์สาธารณะหรือในการปฏิบัติหน้าที่ตามที่ได้รับมอบหมายจากรัฐ หรือเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งประโยชน์โดยชอบด้วยกฎหมายนั้นมีความสำคัญมากกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล

 

5.2 การเก็บรวบรวมข้อมูลส่วนบุคคลของผู้หย่อนความสามารถ

   การเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ เพื่อดำเนินการตามวัตถุประสงค์ใดๆ ซึ่งผู้เยาว์ไม่อาจดำเนินการเองได้โดยลำพังตามที่ประมวลกฎหมายแพ่งและพาณิชย์กำหนดไว้ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองหรือผู้ทำการแทนผู้เยาว์ด้วย เว้นแต่กรณีผู้เยาว์อายุไม่เกิน 10 ปี ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองหรือผู้การแทนผู้เยาว์เท่านั้น

การเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลเป็นบุคคลไร้ความสามารถหรือเสมือนไร้ความสามารถต้องได้รับความยินยอมจากผู้อนุบาลหรือจากผู้พิทักษ์หรือบุคคลผู้ทำการแทนเท่านั้น

 

5.3 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)

   บริษัทจะไม่เก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เว้นแต่มีความจำเป็นต้องเก็บรวบรวมโดยต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ยกเว้นในกรณีที่กฎหมายกำหนดให้สามารถเก็บรวบรวมได้โดยไม่ต้องขอความยินยอม

 

5.4 การใช้และ/หรือการเปิดเผยข้อมูลส่วนบุคคล

             การใช้และ/หรือการเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะทำการเก็บรวบรวม หรือเป็นการจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายกำหนดให้ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมาย

 

บุคคลหรือนิติบุคคลอื่นซึ่งได้รับข้อมูลส่วนบุคคลจากการที่เจ้าของข้อมูลส่วนบุคคลตกลงยินยอมให้เปิดเผยหรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคลต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ซึ่งเจ้าของข้อมูลส่วนบุคคลได้ตกลงยินยอมให้ไว้กับบริษัทและตามที่บุคคลหรือนิติบุคคลนั้นได้แจ้งไว้กับบริษัทเท่านั้น

1.คุณภาพของข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้นต้องถูกต้องเป็นปัจจุบันสมบูรณ์ไม่ก่อให้เกิดความเข้าใจผิดและต้องดำเนินการจัดให้มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลสามารถร้องขอหรือแก้ไขข้อมูลส่วนบุคคลของตัวเองได้

 

2.บทบาทหน้าที่และความรับผิดชอบ

             บริษัทกำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอย่างเคร่งครัด โดยกำหนดให้บุคคลหรือหน่วยงานดังต่อไปนี้ ทำหน้าที่กำกับและตรวจสอบให้การดำเนินงานของบริษัทนั้นถูกต้องและเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

 

7.1 ผู้ควบคุมข้อมูลส่วนบุคคล

                     7.1.1 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม และทบทวนมาตรการอย่างสม่ำเสมอเพื่อให้มาตรการดังกล่าวมีประสิทธิภาพ ทันต่อเทคโนโลยีที่เปลี่ยนแปลงไป

                     7.1.2 กำหนดขอบเขตการจัดการกับข้อมูลส่วนบุคคลที่ได้เปิดเผยต่อบุคคลหรือนิติบุคคลอื่น

                     7.1.3 จัดให้มีระบบตรวจสอบการจัดการกับข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด

                     7.1.4 บันทึกรายการเกี่ยวกับข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด

                     7.1.5 จัดทำข้อตกลงกับผู้ประมวลผลข้อมูลส่วนบุคคล นิติบุคคลหรือบุคคลภายนอกอื่นใด หากมีการเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคลที่ได้ว่าจ้าง นิติบุคคลหรือบุคคลภายนอกอื่นใด โดยผู้ประมวลผลข้อมูล นิติบุคคล หรือบุคคลภายนอกดังกล่าว ต้องมีมาตรการรักษาความปลอดภัยในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลต้องเป็นไปตามนโยบายฉบับนี้ และตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

ประมวลผลข้อมูล นิติบุคคล หรือบุคคลภายนอกดังกล่าว ต้องมีมาตรการรักษาความปลอดภัยในการเก็บรวมรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลต้องเป็นไปตามนโยบายฉบับนี้ และตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

 

7.2 ผู้ประมวลข้อมูลส่วนบุคคล

                   7.2.1 ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล

                  7.2.2 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม

                  7.2.3 จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้

 

 

 

7.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

               7.3.1 จัดทำและทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล รวมถึงแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ครบถ้วนและถูกต้องตามที่กฎหมายกำหนด

7.3.2 ให้คำแนะนำในด้านต่างๆ