นโยบายความเป็นส่วนตัว
ประกาศ
บริษัท แอล.เค.เอส. ฟู้ด เมคเกอร์ จำกัดและร้านค้าในเครือ
ที่ 6/2565
เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy policy)
หลักการและเหตุผล
ด้วยความก้าวหน้าของเทคโนโลยีสารสนเทศ รวมทั้งระบบสื่อสารได้พัฒนาไปอย่างรวดเร็ว ทำให้การ
เข้าถึงการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล สามารถทำได้โดยง่าย สะดวก และรวดเร็ว อันอาจนำมาซึ่งความเสียหายต่อเจ้าของข้อมูล ประกอบกับได้มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 แล้วนั้น
บริษัทได้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ซึ่งเป็นสิทธิขั้นพื้นฐานสำคัญในความเป็นส่วนตัว (Privacy Right) ที่ต้องได้รับความคุ้มครองตามรัฐธรรมนูญแห่งราชอาณาจักรไทย และหลักปฏิญญาสากลว่าด้วยสิทธิมนุษยชน (Universal Declaration of Human Rights) ซึ่งบุคคลใดจะถูกแทรกแซงตามอำเภอใจในความเป็นส่วนตัว ครอบครัว ที่อยู่อาศัย หรือการสื่อสาร หรือจะถูกลบหลู่เกียรติยศและชื่อเสียงไม่ได้ ทุกคนมีสิทธิที่จะได้รับความคุ้มครองตามกฎหมาย ต่อการแทรกแซงสิทธิหรือการลบหลู่ดังกล่าวนั้น รวมถึงเพื่อสนับสนุนและเคารพการปกป้องสิทธิมนุษยชนตามที่ประกาศใช้ในระดับสากล ตามหลักการของข้อตกลงโลกแห่งสหประชาชาติ (UN Global Compact) รวมถึงตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทจึงได้ประกาศนโยบายเพื่อเป็นหลักในการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ดังนี้
วัตถุประสงค์
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ จัดทำขึ้นเพื่อวัตถุประสงค์ ดังต่อไปนี้
2.1.เพื่อคุ้มครองข้อมูลส่วนของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นบุคคลธรรมดาซึ่งทำธุรกรรม ใช้บริการ มี
ส่วนได้ส่วนเสีย หรือที่มีส่วนเกี่ยวข้องกับบริษัท ได้แก่แต่ไม่จำกัดเพียงบุคคลดังต่อไปนี้
- ลูกค้า
- พนักงาน
- ผู้ถือหุ้น
- นักลงทุน เจ้าหนี้ ลูกหนี้
- คู่ค้า พันธมิตรทางธุรกิจ
- บุคคลที่บริษัทได้ว่าจ้างให้ดำเนินงานตามวัตถุประสงค์ของบริษัท เช่น ที่ปรึกษาด้านวิชาชีพ ผู้ให้บริการด้านระบบเทคโนโลยีสารสนเทศ เป็นต้น
- บุคคลที่เข้าชมเว็บไซต์หรือแอปพลิเคชันของบริษัท
- บุคคลที่เข้ามาติดต่อหรือใช้บริการสำนักงาน อาคารหรือสถานที่ของบริษัท
- ครอบครัวพนักงาน ผู้รับผลประโยชน์ตามกรมธรรม์ประกันชีวิต ประกันวินาศภัยที่บริษัทจัดทำให้
- บุคคลที่ถูกอ้างอิง เช่น บุคคลที่ถูกอ้างอิงในการสมัครงาน การเสนอขายสินค้าและบริการกับบริษัท เป็นต้น
ü เพื่อกำหนดบทบาทหน้าที่ ของหน่วยงาน ผู้บริหาร พนักงาน ซึ่งมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล
ü เพื่อกำหนดขั้นตอนหรือมาตรการรักษาความปลอดภัยในการคุ้มครองข้อมูลส่วนบุคคล
ü เพื่อกำหนดแนวทางในการปฏิบัติงานของพนักงานซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล
ü เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ต่อเจ้าของข้อมูลส่วนบุคคล
ขอบเขตการใช้
ให้ประกาศฉบับนี้มีผลใช้บังคับกับคณะกรรมการกรรมการผู้บริหารและพนักงานทุกระดับของบริษัท
บริษัท แอล.เค.เอส. ฟู้ด เมคเกอร์ จำกัดและร้านค้าในเครือ รวมถึงคู่ค้า ผู้ให้บริการ และผู้มีส่วนได้ส่วนเสียกับบริษัท โดยใช้บังคับกับทุกกิจกรรมการดำเนินงานของบริษัทที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
คำนิยาม
“บริษัท” หมายความว่า บริษัท แอล.เค.เอส. ฟู้ด เมคเกอร์ จำกัดและร้านค้าในเครือ
“บริษัทในเครือ” หมายความว่า บริษัทจำกัด ซึ่งอยู่ภายใต้การควมคุมของบริษัท โดยมีลักษณะ เป็นไปตามประกาศคณะกรรมการบริษัทฯ
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลที่สามารถทำให้ระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายความว่า ข้อมูลส่วนบุคคลที่มีความเสี่ยงอาจนำไปสู่การเลือกปฏิบัติอย่างไม่เป็นธรรม (Sensitive Data) ในที่นี้หมายถึงเชื้อชาติศาสนาพฤติกรรมทางเพศประวัติอาชญากรรมข้อมูลสุขภาพความพิการข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรืออื่น ๆ ตามที่กฎหมายกำหนด
“เจ้าของข้อมูลส่วนบุคคล” หมายความว่าบุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลเป็นต้นว่าลูกค้าคู่ค้าผู้ใช้บริการและพนักงาน
“ผู้ควบคุมข้อมูลส่วนบุคคล“ หมายความว่าบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล ในที่นี้หมายถึง บริษัทหน่วยงาน พนักงานที่รับผิดชอบในข้อมูลส่วนบุคคลนั้น
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่าบุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ในที่นี้หมายถึง คู่ค้า บุคคลหรือบริษัทภายนอกที่บริษัทได้ว่าจ้าง
“บุคคล” หมายความว่า บุคคลธรรมดา
“บุคคลผู้หย่อนความสามารถ” หมายความว่าบุคคลซึ่งเป็นผู้เยาว์เป็นคนไร้ความามารถหรือ เสมือนไร้ความสามารถตามประมวลกฎหมายแพ่งและพาณิชย์
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายความว่า บุคคลซึ่งบริษัทแต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่ (Data Protection Officer : DPO) คุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
“ผู้ประสานงานข้อมูลส่วนบุคคล” หมายความว่า บุคคลซึ่งถูกกำหนดหรือได้รับมอบหมายตาม
(Data Protection Coordinator : DPC) นโยบายฉบับนี้
การคุ้มครองข้อมูลส่วนบุคคล
5.1 การเก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทำภายใต้วัตถุประสงค์และเท่าที่จำเป็นตามกรอบวัตถุประสงค์หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวม ถึงรายละเอียดดังต่อไปนี้
- วัตถุประสงค์ของการเก็บรวบรวม
- ระยะเวลาในการเก็บรวบรวมไว้
- ประเภทของบุคคลหรือหน่วยงานซึ่งอาจมีการเปิดเผยข้อมูลส่วนบุคคล
- ข้อมูลหรือช่องทางการติดต่อกับบริษัท
- สิทธิของเจ้าของข้อมูลส่วนบุคคล
- แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด หรือเพื่อเข้าทำหรือปฏิบัติตามสัญญา
- เพื่อประโยชน์สาธารณะ การศึกษาวิจัย การสถิติ หรือการปฏิบัติตามกฎหมาย
- เป็นการดำเนินการเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล
- เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
- เป็นการจำเป็นตามหน้าที่ในการดำเนินการเพื่อประโยชน์สาธารณะหรือในการปฏิบัติหน้าที่ตามที่ได้รับมอบหมายจากรัฐ หรือเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งประโยชน์โดยชอบด้วยกฎหมายนั้นมีความสำคัญมากกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
5.2 การเก็บรวบรวมข้อมูลส่วนบุคคลของผู้หย่อนความสามารถ
การเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ เพื่อดำเนินการตามวัตถุประสงค์ใดๆ ซึ่งผู้เยาว์ไม่อาจดำเนินการเองได้โดยลำพังตามที่ประมวลกฎหมายแพ่งและพาณิชย์กำหนดไว้ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองหรือผู้ทำการแทนผู้เยาว์ด้วย เว้นแต่กรณีผู้เยาว์อายุไม่เกิน 10 ปี ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองหรือผู้การแทนผู้เยาว์เท่านั้น
การเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลเป็นบุคคลไร้ความสามารถหรือเสมือนไร้ความสามารถต้องได้รับความยินยอมจากผู้อนุบาลหรือจากผู้พิทักษ์หรือบุคคลผู้ทำการแทนเท่านั้น
5.3 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)
บริษัทจะไม่เก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เว้นแต่มีความจำเป็นต้องเก็บรวบรวมโดยต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ยกเว้นในกรณีที่กฎหมายกำหนดให้สามารถเก็บรวบรวมได้โดยไม่ต้องขอความยินยอม
5.4 การใช้และ/หรือการเปิดเผยข้อมูลส่วนบุคคล
การใช้และ/หรือการเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะทำการเก็บรวบรวม หรือเป็นการจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายกำหนดให้ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมาย
บุคคลหรือนิติบุคคลอื่นซึ่งได้รับข้อมูลส่วนบุคคลจากการที่เจ้าของข้อมูลส่วนบุคคลตกลงยินยอมให้เปิดเผยหรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคลต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ซึ่งเจ้าของข้อมูลส่วนบุคคลได้ตกลงยินยอมให้ไว้กับบริษัทและตามที่บุคคลหรือนิติบุคคลนั้นได้แจ้งไว้กับบริษัทเท่านั้น
1.คุณภาพของข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้นต้องถูกต้องเป็นปัจจุบันสมบูรณ์ไม่ก่อให้เกิดความเข้าใจผิดและต้องดำเนินการจัดให้มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลสามารถร้องขอหรือแก้ไขข้อมูลส่วนบุคคลของตัวเองได้
2.บทบาทหน้าที่และความรับผิดชอบ
บริษัทกำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอย่างเคร่งครัด โดยกำหนดให้บุคคลหรือหน่วยงานดังต่อไปนี้ ทำหน้าที่กำกับและตรวจสอบให้การดำเนินงานของบริษัทนั้นถูกต้องและเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
7.1 ผู้ควบคุมข้อมูลส่วนบุคคล
7.1.1 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม และทบทวนมาตรการอย่างสม่ำเสมอเพื่อให้มาตรการดังกล่าวมีประสิทธิภาพ ทันต่อเทคโนโลยีที่เปลี่ยนแปลงไป
7.1.2 กำหนดขอบเขตการจัดการกับข้อมูลส่วนบุคคลที่ได้เปิดเผยต่อบุคคลหรือนิติบุคคลอื่น
7.1.3 จัดให้มีระบบตรวจสอบการจัดการกับข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด
7.1.4 บันทึกรายการเกี่ยวกับข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
7.1.5 จัดทำข้อตกลงกับผู้ประมวลผลข้อมูลส่วนบุคคล นิติบุคคลหรือบุคคลภายนอกอื่นใด หากมีการเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคลที่ได้ว่าจ้าง นิติบุคคลหรือบุคคลภายนอกอื่นใด โดยผู้ประมวลผลข้อมูล นิติบุคคล หรือบุคคลภายนอกดังกล่าว ต้องมีมาตรการรักษาความปลอดภัยในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลต้องเป็นไปตามนโยบายฉบับนี้ และตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
ประมวลผลข้อมูล นิติบุคคล หรือบุคคลภายนอกดังกล่าว ต้องมีมาตรการรักษาความปลอดภัยในการเก็บรวมรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลต้องเป็นไปตามนโยบายฉบับนี้ และตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
7.2 ผู้ประมวลข้อมูลส่วนบุคคล
7.2.1 ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล
7.2.2 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม
7.2.3 จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้
7.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)
7.3.1 จัดทำและทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล รวมถึงแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ครบถ้วนและถูกต้องตามที่กฎหมายกำหนด
7.3.2 ให้คำแนะนำในด้านต่างๆ