top of page

นโยบายคุ้มครองข้อมูลส่วนบุคคล

กลุ่มบริษัทซอฟต์สแควร์ (“บริษัท”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) และที่แก้ไขเพิ่มเติม (“PDPA”) นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้กำหนดหลักการและแนวปฏิบัติที่บริษัทใช้ เพื่อให้การประมวลผลข้อมูลส่วนบุคคลเป็นไปโดยชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส ครอบคลุมทุกการดำเนินงานที่เกี่ยวข้อง

 

นโยบายฉบับนี้ใช้กับข้อมูลส่วนบุคคลทั้งหมดที่บริษัทมีการประมวลผล รวมถึงการประมวลผลที่ดำเนินการโดยบุคคลภายนอก ระบบ หรืออุปกรณ์ ที่กระทำในนามของบริษัท อย่างไรก็ตาม นโยบายฉบับนี้ไม่ครอบคลุมกิจกรรมส่วนบุคคลของบุคลากรของบริษัทที่ไม่เกี่ยวข้องกับการดำเนินงานของ กลุ่มบริษัทซอฟต์สแควร์ (เช่น การใช้งานในครัวเรือน)

 

บริษัทอาจจัดทำข้อกำหนด ระเบียบปฏิบัติภายใน แนวทาง หรือคู่มือการปฏิบัติงาน (“Internal Procedures” (ระเบียบ/แนวปฏิบัติภายใน)) เพื่อใช้สนับสนุนและบังคับใช้นโยบายฉบับนี้ในการดำเนินงานประจำวัน

 

บริษัทจะทบทวนและปรับปรุงนโยบายฉบับนี้ให้สอดคล้องกับการเปลี่ยนแปลงของ PDPA หรือกฎหมาย/ระเบียบที่เกี่ยวข้อง เพื่อให้มั่นใจว่าบริษัทยังคงปฏิบัติตามข้อกำหนดอย่างต่อเนื่อง

คำจำกัดความ

 

“ข้อมูลส่วนบุคคล (Personal Data)”: ข้อมูลใด ๆ ที่สามารถระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม ตามนิยามที่กำหนดไว้ใน PDPA

 

“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)”: ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา รสนิยมทางเพศ สุขภาพ ความพิการ ประวัติอาชญากรรม สมาชิกภาพสหภาพแรงงาน ข้อมูลพันธุกรรม หรือข้อมูลชีวมิติ (biometric data: ข้อมูลระบุตัวตนจากลักษณะทางชีวภาพ) หรือข้อมูลอื่นใดตามที่กฎหมายกำหนด

 

“เจ้าของข้อมูล (Data Subject)”: บุคคลที่สามารถระบุตัวตนได้จากข้อมูลส่วนบุคคล

 

“การประมวลผลข้อมูล (Data Processing)”: การดำเนินการใด ๆ ที่กระทำต่อข้อมูลส่วนบุคคล ไม่ว่าจะทำโดยวิธีอัตโนมัติหรือไม่ก็ตาม รวมถึงการเก็บรวบรวม การใช้ การเปิดเผย หรือการทำลายข้อมูล

 

“การละเมิดข้อมูลส่วนบุคคล (Data Breach)”: การเข้าถึง การใช้ การแก้ไขเปลี่ยนแปลง การเปิดเผย หรือการสูญหายของข้อมูลส่วนบุคคล โดยไม่ได้รับอนุญาตหรือไม่ชอบด้วยกฎหมาย

 

“สำนักงาน (The Office)”: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Commission: PDPC) ของประเทศไทย

บทบาทและความรับผิดชอบ

 

คณะกรรมการบริษัท (Board of Directors): รับผิดชอบในการกำกับดูแลให้บริษัทปฏิบัติตาม PDPA และอนุมัตินโยบายฉบับนี้ รวมถึงระเบียบ/แนวปฏิบัติภายในที่เกี่ยวข้อง

 

ทีมกำกับดูแลข้อมูล (Data Governance Team): กำกับให้พนักงาน ผู้บริหาร และทุกหน่วยงานปฏิบัติตามนโยบายฉบับนี้ ประสานการจัดทำนโยบายภายใน การอบรมบุคลากร และติดตามการปฏิบัติตามข้อกำหนด นอกจากนี้ยังจัดทำและดูแลบันทึกรายการกิจกรรมการประมวลผลข้อมูล (record of processing activities: บันทึกกิจกรรมการประมวลผล) และให้คำแนะนำด้านกฎหมายและการดำเนินงาน

 

ทุกหน่วยงานที่จัดการข้อมูลส่วนบุคคล (All Departments Handling Personal Data): ต้องร่วมมือกับทีมกำกับดูแลข้อมูลในการจัดทำระเบียบ/ขั้นตอนการปฏิบัติงาน จัดอบรมบุคลากร และดูแลให้มีระบบ IT ที่เหมาะสมเพื่อคุ้มครองข้อมูลส่วนบุคคล

 

พนักงานทุกคน (All Employees): ต้องปฏิบัติตามนโยบายฉบับนี้และระเบียบ/แนวปฏิบัติภายในอย่างเคร่งครัด และต้องรายงานทันทีเมื่อสงสัยว่ามีการละเมิดข้อมูลส่วนบุคคล ให้แก่ผู้บังคับบัญชาและทีมกำกับดูแลข้อมูล

 

 

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) (หากมี)

 

บริษัทจะแต่งตั้งเมื่อกฎหมายกำหนด โดย DPO มีหน้าที่ดังนี้:

 

  • ติดตามและตรวจสอบการปฏิบัติตามนโยบายฉบับนี้และกฎหมายที่เกี่ยวข้อง

  • ให้คำแนะนำแก่พนักงานและหน่วยงานต่าง ๆ

  • ประสานงานกับ PDPC

  • รายงานโดยตรงต่อผู้บริหารระดับสูง

  • รักษาความลับของข้อมูลทั้งหมดที่เข้าถึง

หลักการในการประมวลผลข้อมูลส่วนบุคคล

 

  • ประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็น และเพื่อวัตถุประสงค์ที่ชอบด้วยกฎหมายและกำหนดไว้อย่างชัดเจน

  • ต้องมีฐานทางกฎหมาย (legal basis: ฐานทางกฎหมายในการประมวลผล) ที่ถูกต้องสำหรับการประมวลผล เช่น ความยินยอม สัญญา หน้าที่ตามกฎหมาย หรือประโยชน์โดยชอบด้วยกฎหมาย

  • แจ้งข้อมูลที่ชัดเจนและเข้าถึงได้ให้แก่เจ้าของข้อมูลเกี่ยวกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูล

  • หากมีการประมวลผลเพื่อวัตถุประสงค์ใหม่ หรือมีการประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหว ให้มั่นใจว่ามีฐานทางกฎหมายที่เหมาะสม หรือขอความยินยอมโดยชัดแจ้ง (explicit consent: ความยินยอมโดยชัดแจ้ง)

  • เปิดให้เจ้าของข้อมูลสามารถให้หรือถอนความยินยอมได้อย่างสะดวก และแจ้งให้ทราบถึงผลกระทบจากการถอนความยินยอม

  • กรณีผู้เยาว์หรือบุคคลไร้ความสามารถ/เสมือนไร้ความสามารถตามกฎหมาย ให้ปฏิบัติตามกฎหมายแพ่งและพาณิชย์ที่เกี่ยวข้องกับการให้ความยินยอม

การโอนข้อมูลส่วนบุคคลไปต่างประเทศ (Cross-Border Data Transfers)

 

ข้อมูลส่วนบุคคลที่โอนออกนอกประเทศไทยต้องส่งไปยังประเทศปลายทางหรือองค์กรที่มีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ ตามที่ PDPA กำหนด การโอนข้อมูลภายในกลุ่มธุรกิจเดียวกันอาจดำเนินการตามนโยบายการโอนข้อมูลภายในของบริษัท โดยอยู่ภายใต้การพิจารณา/ตรวจสอบของ PDPC

 

 

การเก็บรักษาและการลบ/ทำลายข้อมูล (Data Retention and Deletion)

 

บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลไว้เพียงเท่าที่จำเป็นตามวัตถุประสงค์ของการประมวลผลที่ระบุไว้ เมื่อสิ้นสุดระยะเวลาการเก็บรักษา หรือเมื่อความสัมพันธ์กับเจ้าของข้อมูลสิ้นสุดลง บริษัทจะลบหรือทำลายข้อมูลอย่างปลอดภัยตามแนวทางภายในและข้อกำหนดทางกฎหมายที่เกี่ยวข้อง

 

 

มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล (Data Security Measures)

 

บริษัทกำหนดมาตรการด้านความมั่นคงปลอดภัยทั้งเชิงองค์กร เชิงเทคนิค และเชิงกายภาพ เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การสูญหาย หรือการนำข้อมูลไปใช้ในทางที่ไม่เหมาะสม ให้สอดคล้องกับมาตรฐานของ PDPC (พ.ศ. 2565) โดยมาตรการประกอบด้วย:

 

  • การควบคุมการเข้าถึง (access controls: การกำหนดสิทธิ์/การจำกัดการเข้าถึง)

  • การเข้ารหัสและการจัดเก็บข้อมูลอย่างปลอดภัย (encryption & secure storage: การเข้ารหัสและจัดเก็บอย่างปลอดภัย)

  • การทบทวนและตรวจสอบความปลอดภัยอย่างสม่ำเสมอ (security reviews & audits: การทบทวนและตรวจประเมิน)

 

ทั้งนี้ แนวทาง/มาตรการด้านความปลอดภัยจะได้รับการปรับปรุงเมื่อกฎระเบียบมีการเปลี่ยนแปลง หรือเมื่อมีการอัปเกรดระบบ (system upgrades: การปรับปรุง/ยกระดับระบบ)

 

 

สิทธิของเจ้าของข้อมูล (Data Subject Rights)

 

บริษัทจัดให้มีช่องทางที่เข้าถึงได้เพื่อให้เจ้าของข้อมูลสามารถ:

 

  • ขอเข้าถึง แก้ไข หรือขอลบข้อมูลของตน

  • คัดค้านหรือขอจำกัดการประมวลผล

  • ขอให้โอนย้ายข้อมูล (data portability: การโอนย้ายข้อมูลระหว่างผู้ให้บริการ)

 

บริษัทจะดำเนินการต่อคำขอโดยเร็ว และตอบกลับภายในระยะเวลาที่กฎหมายกำหนด หากมีการปฏิเสธคำขอ บริษัทจะบันทึกเหตุผลไว้เพื่อรองรับการตรวจสอบการปฏิบัติตามข้อกำหนด (compliance audits: การตรวจสอบการปฏิบัติตามข้อกำหนด)

 

 

การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Notification)

 

หากเกิดเหตุละเมิดข้อมูลส่วนบุคคล:

 

  • พนักงานต้องรายงานต่อหน่วยงานที่รับผิดชอบทันที

  • ทีมกำกับดูแลข้อมูลหรือ DPO จะประเมินสถานการณ์และควบคุม/จำกัดผลกระทบของเหตุการณ์

  • หากเหตุละเมิดมีความเสี่ยง บริษัทจะแจ้ง PDPC ภายใน 72 ชั่วโมง

  • หากเหตุละเมิดมีความเสี่ยงสูงต่อบุคคล บริษัทจะแจ้งเจ้าของข้อมูลที่ได้รับผลกระทบ พร้อมแนวทางการแก้ไข/ลดผลกระทบ

 

 

วันที่มีผลบังคับใช้ (Effective Date)

 

นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ได้รับอนุมัติโดยคณะกรรมการบริษัทเมื่อวันที่ 28 มีนาคม 2023 และมีผลบังคับใช้ตั้งแต่วันที่ 29 มีนาคม 2023

bottom of page