นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

บริษัท สหมงคลฟิล์ม อินเตอร์เนชั่นแนล จำกัด และกลุ่มบริษัท

1. บทนำ

บริษัทหมายถึงบริษัทสหมงคลฟิล์มอินเตอร์เนชั่นแนลจำกัดและกลุ่มบริษัทที่เกี่ยวข้องได้แก่บริษัทมงคลภาพยนตร์จำกัดและบริษัทมงคลเมเจอร์จำกัด(ต่อไปในนโยบายนี้รวมเรียกว่า “บริษัท” หรือ “องค์กร”) ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและข้อมูลอื่นอันเกี่ยวกับท่าน (รวมเรียกว่า “ข้อมูล”) เพื่อให้ท่านสามารถเชื่อมั่นได้ว่าบริษัทมีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลของท่านตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) รวมถึงกฎหมายอื่นที่เกี่ยวข้อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) นี้จึงได้ถูกจัดทำขึ้นเพื่อชี้แจงแก่ท่านถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคลซึ่งดำเนินการโดยบริษัท รวมถึงเจ้าหน้าที่และบุคคลที่เกี่ยวข้องผู้ดำเนินการแทนหรือในนามของบริษัท โดยมีเนื้อหาสาระดังต่อไปนี้

2. ขอบเขตการบังคับใช้นโยบาย

นโยบายนี้ใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลซึ่งมีความสัมพันธ์กับบริษัท ในปัจจุบันและที่อาจจะมีในอนาคต ซึ่งถูกประมวลผลข้อมูลส่วนบุคคลโดยบริษัท พนักงานตามสัญญา หน่วยธุรกิจหรือองค์กรรูปแบบอื่นที่ดำเนินการโดยบริษัท และรวมถึงคู่สัญญาหรือบุคคลภายนอกที่ประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของบริษัท (“ผู้ประมวลผลข้อมูลส่วนบุคคล”) ภายใต้ผลิตภัณฑ์และบริการต่าง ๆ เช่น เว็บไซต์ ระบบ แอปพลิเคชัน เอกสาร หรือบริการในรูปแบบอื่นที่ควบคุมดูแลโดยบริษัท (รวมเรียกว่า“บริการ”)

บุคคลมีความสัมพันธ์กับบริษัท ตามความในวรรคแรก รวมถึง

  1. ลูกค้าบุคคลธรรมดา
  2. พนักงาน ผู้ปฏิบัติงาน หรือลูกจ้าง
  3. คู่ค้าและผู้ให้บริการซึ่งเป็นบุคคลธรรมดา
  4. กรรมการ ผู้รับมอบอำนาจ ผู้แทน ตัวแทน ผู้ถือหุ้น ลูกจ้าง หรือบุคคลอื่นที่มีความสัมพันธ์ในรูปแบบเดียวกันของนิติบุคคลที่มีความสัมพันธ์กับ บริษัท
  5. ผู้ใช้งานผลิตภัณฑ์หรือบริการของบริษัท 
  6. ผู้เข้าชมหรือใช้งานเว็บไซต์ www.sahamongkolfilm.com รวมทั้งระบบ อุปกรณ์ หรือช่องทางการสื่อสารอื่นซึ่งควบคุมดูแลโดยบริษัท เช่น Facebook, Instagram, Twitter, Line หรืออื่นๆ
  7. บุคคลอื่นที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ผู้สมัครงาน ครอบครัวของพนักงาน ผู้ค้ำประกัน ผู้รับประโยชน์ในกรมธรรม์ประกันภัย เป็นต้น

ข้อ 1) ถึง 6) เรียกรวมกันว่า “ท่าน” 

นอกจากนโยบายฉบับนี้แล้ว บริษัทอาจกำหนดให้มีคำประกาศเกี่ยวกับความเป็นส่วนตัว (“ประกาศ”) สำหรับการบริการหรือผลิตภัณฑ์ของบริษัท เพื่อชี้แจงให้เจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้ใช้บริการได้ทราบถึงข้อมูลส่วนบุคคลที่ถูกประมวลผล วัตถุประสงค์และเหตุผลอันชอบด้วยกฎหมายในการประมวลผล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิในข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลพึงมีในการบริการหรือผลิตภัณฑ์นั้นเป็นการเฉพาะเจาะจง

ทั้งนี้ ในกรณีที่มีความขัดแย้งกันในสาระสำคัญระหว่างความในประกาศเกี่ยวกับความเป็นส่วนตัวและนโยบายนี้ ให้ถือตามความในประกาศเกี่ยวกับความเป็นส่วนตัวของบริการนั้น ๆ

3. คำนิยาม

  • บริษัทหมายถึง บริษัทสหมงคลฟิล์มอินเตอร์เนชั่นแนลจำกัด และกลุ่มบริษัทที่เกี่ยวข้องได้แก่บริษัทมงคลภาพยนตร์จำกัดและบริษัทมงคลเมเจอร์จำกัด
  • ข้อมูลส่วนบุคคลหมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
  • ข้อมูลส่วนบุคคลอ่อนไหวหมายถึงข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
  • การประมวลผลข้อมูลส่วนบุคคลหมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น เก็บรวบรวม บันทึก สำเนา จัดระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน รวม ลบ ทำลาย เป็นต้น
  • เจ้าของข้อมูลส่วนบุคคลหมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่บริษัท เก็บรวบรวม ใช้ หรือเปิดเผย
  • ผู้ควบคุมข้อมูลส่วนบุคคลหมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • ผู้ประมวลผลข้อมูลส่วนบุคคลหมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

4. แหล่งที่มาของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม

บริษัทเก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูลดังต่อไปนี้ 

  1. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการต่าง ๆ เช่น ขั้นตอนการสมัคร ลงทะเบียน สมัครงาน ลงนามในสัญญา เอกสาร ทำแบบสำรวจหรือใช้งานผลิตภัณฑ์ บริการ หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดยบริษัท หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับบริษัท ณ ที่ทำการหรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดยบริษัท เป็นต้น
  2. ข้อมูลที่บริษัทเก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการอื่น ๆ ตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์/แอปพลิเคชัน ผลิตภัณฑ์หรือบริการของบริษัทด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
  3. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่บริษัท เช่น การเชื่อมโยงบริการดิจิทัลของหน่วยงานของรัฐในการให้บริการเพื่อประโยชน์สาธารณะแบบเบ็ดเสร็จแก่เจ้าของข้อมูลส่วนบุคคลเอง การรับข้อมูลส่วนบุคคลจากหน่วยงานของรัฐแห่งอื่นในฐานะที่บริษัทมีหน้าที่ตามพันธกิจในการดำเนินการจัดให้มีศูนย์แลกเปลี่ยนข้อมูลกลางเพื่อสนับสนุนการดำเนินการของหน่วยงานของรัฐในการให้บริการประชาชนผ่านระบบดิจิทัล รวมถึงจากความจำเป็นเพื่อให้บริการตามสัญญาที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญาได้  

นอกจากนี้ ยังหมายความรวมถึงกรณีที่ท่านเป็นผู้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่บริษัท ดังนี้ ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้หรือประกาศของผลิตภัณฑ์หรือบริการ ตามแต่กรณี ให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้นหากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูลแก่บริษัท 

ทั้งนี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลที่มีความจำเป็นในการให้บริการของบริษัท อาจเป็นผลให้บริษัทไม่สามารถให้บริการนั้นแก่เจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วน

5. ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล

บริษัทพิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของท่านตามความเหมาะสมและตามบริบทของการให้บริการ ทั้งนี้ ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลที่บริษัทใช้ ประกอบด้วย

ฐานกฎหมายในการเก็บรวบรวมข้อมูลรายละเอียด
เพื่อการปฏิบัติหน้าที่ตามกฎหมายเพื่อให้บริษัทสามารถปฏิบัติตามที่กฎหมายที่ควบคุม บริษัท เช่น  – การเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560  – กฎหมายว่าด้วยภาษีอากร  – การดำเนินการตามคำสั่งศาล เป็นต้น
เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทและของบุคคลอื่น ซึ่งประโยชน์ดังกล่าวมีความสำคัญไม่น้อยไปกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เช่น เพื่อการรักษาความปลอดภัยอาคารสถานที่ของ บริษัท หรือการประมวลผลข้อมูลส่วนบุคคลเพื่อกิจการภายในของบริษัท เป็นต้น
เป็นการจำเป็นเพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ในกรณีที่เจ้าของข้อมูลอยู่ในสภาวะที่ไม่สามารถให้ความยินยอมได้ และไม่มีวิธีอื่นที่สามารถปกป้องชีวิตบุคคลอื่นโดยไม่ต้องประมวลผลข้อมูลนี้แล้ว
เพื่อการปฏิบัติตามสัญญาเพื่อให้บริษัทสามารถปฏิบัติหน้าที่ตามสัญญา หรือดำเนินการอันเป็นความจำเป็นต่อการเข้าทำสัญญาซึ่งท่านเป็นคู่สัญญากับบริษัท เช่น การจ้างงาน จ้างทำของ การทำบันทึกข้อตกลงความร่วมมือหรือสัญญาในรูปแบบอื่น เป็นต้น
เพื่อการจัดทำเอกสารประวัติศาสตร์ วิจัยหรือสถิติที่สำคัญเพื่อให้บริษัทสามารถจัดทำหรือสนับสนุนการจัดทำเอกสารประวัติศาสตร์ วิจัยหรือสถิติ ตามที่บริษัทอาจได้รับมอบหมาย เช่น การจัดทำทำเนียบผู้ดำรงตำแหน่งผู้อำนวยการหรือคณะกรรมการ เป็นต้น
ความยินยอมของท่านเพื่อการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีที่บริษัทจำเป็นต้องได้รับความยินยอมจากท่าน โดยได้มีการแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลก่อนการขอความยินยอมแล้ว เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวด้วยวัตถุประสงค์ที่ไม่เป็นไปตามข้อยกเว้นมาตรา 24 หรือ 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือการนำเสนอ ประชาสัมพันธ์ผลิตภัณฑ์และบริการของคู่สัญญาหรือพันธมิตรทางธุรกิจแก่ท่าน เป็นต้น

ในกรณีที่บริษัทมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลของท่านเพื่อการปฏิบัติตามสัญญา การปฏิบัติหน้าที่ตามกฎหมายหรือเพื่อความจำเป็นในการเข้าทำสัญญา หากท่านปฏิเสธไม่ให้ข้อมูลส่วนบุคคลหรือ คัดค้านการดำเนินการประมวลผลตามวัตถุประสงค์ของกิจกรรม อาจมีผลทำให้บริษัทไม่สามารถดำเนินการหรือให้บริการตามที่ท่านร้องขอได้ทั้งหมดหรือบางส่วน 

6. ประเภทของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม

บริษัทอาจเก็บรวบรวมหรือได้มาซึ่งข้อมูลดังต่อไปนี้ ซึ่งอาจรวมถึงข้อมูลส่วนบุคคลของท่าน ทั้งนี้ ขึ้นอยู่กับบริการที่ท่านใช้หรือบริบทความสัมพันธ์ที่ท่านมีกับบริษัท รวมถึงข้อพิจารณาอื่นที่มีผลกับการเก็บรวบรวมข้อมูลส่วนบุคคล โดยประเภทของข้อมูลที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการเก็บรวบรวมข้อมูลส่วนบุคคลของบริษัทเป็นการทั่วไป ทั้งนี้ เฉพาะข้อมูลที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่ท่านใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้

ประเภทข้อมูลส่วนบุคคลรายละเอียดและตัวอย่าง
ข้อมูลเฉพาะตัวบุคคลข้อมูลระบุชื่อเรียกของท่านหรือข้อมูลจากเอกสารราชการที่ระบุข้อมูลเฉพาะตัวของท่าน เช่น คำนำหน้าชื่อ ชื่อ นามสกุล ชื่อกลาง ชื่อเล่น ลายมือชื่อ เลขที่บัตรประจำตัวประชาชน สัญชาติ เลขที่ใบขับขี่ เลขที่หนังสือเดินทาง ข้อมูลทะเบียนบ้าน หมายเลขใบประกอบการ หมายเลขใบอนุญาตการประกอบวิชาชีพ (สำหรับแต่ละอาชีพ) หมายเลขประจำตัวผู้ประกันตน หมายเลขประกันสังคม รวมถึง ข้อมูลแสดงตัวตันที่ออกให้โดยหน่วยงานรัฐ หรือข้อมูลอื่นใดที่จำเป็นสำหรับเราในการตรวจสอบ (due diligence) การรู้จักตัวตนของลูกค้า (know your customer) การตรวจสอบยืนยันตัวตน (identity verification) การตรวจสอบเพื่อวัตถุประสงค์ในการป้องกันการฉ้อโกงหลอกลวง (fraud prevention) เป็นต้น 
ข้อมูลเกี่ยวกับคุณลักษณะของบุคคลข้อมูลรายละเอียดเกี่ยวกับตัวท่าน เช่น วันเดือนปีเกิด เพศ ส่วนสูง น้ำหนัก อายุ สถานภาพการสมรส สถานภาพการเกณฑ์ทหาร รูปถ่าย รูปภาพ วิดีโอ ภาษาพูด ข้อมูลพฤติกรรม ความชื่นชอบ ข้อมูลการเป็นบุคคลล้มละลาย ข้อมูลการเป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ เป็นต้น
ข้อมูลสำหรับการติดต่อข้อมูลเพื่อการติดต่อท่าน เช่น เบอร์โทรศัพท์บ้าน เบอร์โทรศัพท์เคลื่อนที่ หมายเลขโทรสาร อีเมล์ ที่อยู่ทางไปรษณีย์บ้าน ชื่อผู้ใช้งานในสังคมออนไลน์ (Line ID, Facebook, Twitter, MS Teams) แผนที่ตั้งของที่พัก เป็นต้น
ข้อมูลเกี่ยวกับการชำระเงินรายละเอียดเกี่ยวกับบัญชีธนาคารและข้อมูลการชำระเงิน
ข้อมูลเกี่ยวกับการทำงานและการศึกษารายละเอียดการจ้างงาน รวมถึงประวัติการทำงานและประวัติการศึกษา เช่น ประเภทการจ้างงาน อาชีพ ยศ ตำแหน่ง หน้าที่ ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน ข้อมูลบุคคลอ้างอิง หมายเลขประจำตัวผู้เสียภาษี ประวัติการดำรงตำแหน่ง ประวัติการทำงาน ข้อมูลเงินเดือน วันเริ่มงาน วันออกจากงาน ผลการประเมิน สวัสดิการและสิทธิประโยชน์ พัสดุในครอบครองของผู้ปฏิบัติงาน ผลงาน หมายเลขบัญชีธนาคาร สถาบันการศึกษา วุฒิการศึกษา ผลการศึกษา วันที่สำเร็จการศึกษา เป็นต้น
ข้อมูลเกี่ยวกับกรมธรรม์ประกันภัยรายละเอียดเกี่ยวกับกรมธรรม์ประกันภัยผู้ปฏิบัติงาน เช่น ผู้รับประกันภัย ผู้เอาประกันภัย ผู้รับประโยชน์ หมายเลขกรมธรรม์ ประเภทกรมธรรม์ วงเงินคุ้มครอง ข้อมูลเกี่ยวกับการเคลม เป็นต้น
ข้อมูลเกี่ยวกับความสัมพันธ์ทางสังคมข้อมูลความสัมพันธ์ทางสังคมของท่าน เช่น การดำรงตำแหน่งกรรมการ ความสัมพันธ์กับผู้ปฏิบัติงานของบริษัท ข้อมูลการเป็นผู้มีสัญญาจ้างกับบริษัท ข้อมูลการเป็นผู้มีส่วนได้เสียในกิจการที่ทำกับบริษัท เป็นต้น
ข้อมูลเกี่ยวกับการใช้บริการของ บริษัทรายละเอียดเกี่ยวกับผลิตภัณฑ์หรือบริการของบริษัท เช่น ชื่อบัญชีผู้ใช้งาน รหัสผ่าน หมายเลข PIN ข้อมูล Single Sign-on (SSO ID) รหัส OTP ข้อมูลการจราจรทางคอมพิวเตอร์ ข้อมูลระบุพิกัด ภาพถ่าย วีดีโอ บันทึกเสียง ข้อมูลพฤติกรรมการใช้งาน (เว็บไซต์ที่อยู่ในความดูแลของบริษัท เช่น www.sahamongkolfilm.com  หรือแอปพลิเคชันต่าง ๆ) ประวัติการสืบค้น คุกกี้หรือเทคโนโลยีในลักษณะเดียวกัน หมายเลขอุปกรณ์ (Device ID) ประเภทอุปกรณ์ รายละเอียดการเชื่อมต่อ ข้อมูล Browser ภาษาที่ใช้งาน ระบบปฏิบัติการที่ใช้งาน เป็นต้น
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนของท่าน เช่น เชื้อชาติ ข้อมูลศาสนา ข้อมูลความพิการ ข้อมูลความเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลชีวภาพ (ข้อมูลภาพจำลองใบหน้า) ข้อมูลเกี่ยวกับสุขภาพ เป็นต้น
ข้อมูลอื่นๆ• ข้อมูลการติดต่อสื่อสารและการตลาด เช่น ความสนใจของคุณในการรับข้อมูลทางการตลาดจากบริษัท และบุคคลอื่น รูปแบบการติดต่อสื่อสารที่คุณสนใจและประวัติข้อมูลการติดต่อสื่อสารกับบริษัท ผู้ให้บริการของบริษัท และบุคคลภายนอก •  ข้อมูลธุรกรรมและการเข้าใช้งาน ซึ่งรวมถึงรายละเอียดข้อมูลการค้นหารายการผลิตภัณฑ์ รายการคำสั่งซื้อ ข้อมูลการเข้าชมสื่อโฆษณาและเนื้อหาบนเว็บไซต์ แอปพลิเคชัน หรือ ช่องทางการสื่อสารอื่นซึ่งควบคุมดูแลโดยบริษัท เช่น Facebook, Instagram, Twitter, Line หรืออื่นๆและข้อมูลผลิตภัณฑ์และบริการอื่นที่เกี่ยวข้องกับคุณ •  ข้อมูลตำแหน่ง •  ข้อมูลอื่นใดเกี่ยวกับท่านเมื่อผู้ใช้ลงทะเบียนเข้าใช้บริการเว็บไซต์ หรือ แอปพลิเคชันของบริษัท และเมื่อท่านเช้าใช้บริการเว็บไซต์ หรือ แอปพลิเคชัน รวมถึงข้อมูลที่เกี่ยวกับวิธีการใช้บริการเว็บไซต์ แอปพลิเคชัน ช่องทางการสื่อสารอื่นซึ่งควบคุมดูแลโดยบริษัท เช่น Facebook, Instagram, Twitter, Line หรืออื่นๆของท่าน •  ข้อมูลส่วนบุคคลที่คุณอาจให้แก่บริษัท ในช่องงทางต่างๆ

ทั้งนี้ ท่านตกลงจะไม่ส่งมอบข้อมูลใดๆ ที่ไม่ถูกต้องและ/หรือที่ทำให้เข้าใจผิดแก่บริษัท และท่านตกลงจะแจ้งให้เราทราบถึงความไม่ถูกต้องหรือการเปลี่ยนแปลงของข้อมูลนั้น เราสงวนสิทธิ์ที่จะขอให้ส่งมอบเอกสารเพิ่มเติมอื่นใดเพื่อการยืนยันข้อมูลที่คุณได้ให้แก่บริษัท ตามที่เราเห็นสมควร

7. คุกกี้

บริษัทเก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ความดูแลของ บริษัท เช่น www.sahamongkolfilm.com  หรือบนอุปกรณ์ของท่านตามแต่บริการที่ท่านใช้งาน ทั้งนี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของบริษัท และเพื่อให้ท่านซึ่งเป็นผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดีในการใช้งานบริการของบริษัท และข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงเว็บไซต์ของบริษัทให้ตรงกับความต้องการของท่านมากยิ่งขึ้น โดยท่านสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บบราวเซอร์ (Web Browser) ของท่าน

8. ข้อมูลส่วนบุคคลของผู้เยาว์คนไร้ความสามารถและคนเสมือนไร้ความสามารถ

กรณีที่บริษัททราบว่าข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวม เป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ บริษัทจะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ทั้งนี้เป็นไปตามเงื่อนไขที่กฎหมายกำหนด

กรณีที่บริษัทไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่าบริษัทได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ดังนี้ บริษัทจะดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้นโดยเร็ว หากบริษัทไม่มีเหตุอันชอบด้วยกฎหมายประการอื่นนอกเหนือจากความยินยอมในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลดังกล่าว

9. วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล

บริษัทดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์หลายประการ ซึ่งขึ้นอยู่กับประเภทของผลิตภัณฑ์หรือบริการหรือกิจกรรมที่ท่านใช้บริการ ตลอดจนลักษณะความสัมพันธ์ของท่านกับ บริษัท หรือข้อพิจารณาในแต่ละบริบทเป็นสำคัญ โดยวัตถุประสงค์ที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการใช้ข้อมูลส่วนบุคคลของบริษัทเป็นการทั่วไป ทั้งนี้ เฉพาะวัตถุประสงค์ที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่ท่านใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้กับข้อมูลของท่าน

  1. เพื่อดำเนินการตามที่จำเป็นในการดำเนินประโยชน์สาธารณะที่บริษัทได้รับมอบหมายให้สำเร็จลุล่วง หรือเป็นการจำเป็นเพื่อใช้อำนาจทางกฎหมายที่บริษัทมีอำนาจหน้าที่ในการดำเนินการ และกฎหมาย กฎ ระเบียบหรือคำสั่งที่เกี่ยวข้อง
  2. เพื่อให้บริการและบริหารจัดการบริการของบริษัท ทั้งบริการภายใต้สัญญาที่มีต่อท่าน หรือตามพันธกิจของ บริษัท
  3. เพื่อการดำเนินการทางธุรกรรมของบริษัท
  4. ควบคุมดูแล ใช้งาน ติดตาม ตรวจสอบและบริหารจัดการบริการเพื่ออำนวยความสะดวกและสอดคล้องกับความต้องการของท่าน
  5. เพื่อเก็บรักษาและปรับปรุงข้อมูลอันเกี่ยวกับท่าน รวมทั้งเอกสารที่มีการกล่าวอ้างถึงท่าน
  6. จัดทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
  7. วิเคราะห์ข้อมูล รวมถึงแก้ไขปัญหาที่เกี่ยวกับบริการของบริษัท
  8. เพื่อดำเนินการตามที่จำเป็นในการบริหารจัดการภายในองค์กร รวมถึงการรับสมัครงาน การสรรหากรรมการหรือผู้ดำรงตำแหน่งต่าง ๆ การประเมินคุณสมบัติ
  9. ป้องกัน ตรวจจับ หลีกเลี่ยง และตรวจสอบการฉ้อโกง การละเมิดความปลอดภัย หรือการกระทำที่ต้องห้าม หรือผิดกฎหมาย และอาจเกิดความเสียหายต่อทั้งบริษัทและเจ้าของข้อมูลส่วนบุคคล
  10. 10)การยืนยันตัวตน พิสูจน์ตัวตนและตรวจสอบข้อมูลเมื่อท่านสมัครใช้บริการของบริษัท หรือติดต่อใช้บริการ หรือใช้สิทธิตามกฎหมาย
  11. 11)เพื่อการจัดทำฐานข้อมูล และประวัติของพนักงาน
  12. 12)เพื่อพิสูจน์ตัวตน ตรวจสอบประวัติการศึกษา และประวัติการทำงานของพนักงาน
  13. 13)ปรับปรุงและพัฒนาคุณภาพผลิตภัณฑ์และบริการให้ทันสมัย
  14. 14)การประเมินและบริหารจัดการความเสี่ยง
  15. 15)ส่งการแจ้งเตือน การยืนยันการทำคำสั่ง ติดต่อสื่อสารและแจ้งข่าวสารไปยังท่าน
  16. 16)เพื่อจัดทำและส่งมอบเอกสารหรือข้อมูลที่มีความเกี่ยวข้องและจำเป็น
  17. 17)ยืนยันตัวตน ป้องกันการสแปม หรือการกระทำที่ไม่ได้รับอนุญาต หรือผิดกฎหมาย ตลอดจนเพื่อพิสูจน์ตัวตนของท่านเมื่อมีการรับบริการจากทางบริษัท ในฐานะที่ท่านเป็นผู้รับชมคอนเทนต์ (Content)
  18. 18)ตรวจสอบว่าเจ้าของข้อมูลส่วนบุคคลเข้าถึงและใช้บริการของบริษัทอย่างไร ทั้งในภาพรวมและรายบุคคล และเพื่อวัตถุประสงค์ที่เกี่ยวกับการค้นคว้า และการวิเคราะห์
  19. 19)ดำเนินการตามที่จำเป็นเพื่อปฏิบัติตามหน้าที่ที่บริษัทมีต่อหน่วยงานที่มีอำนาจควบคุม หน่วยงานด้านภาษี การบังคับใช้กฎหมาย หรือภาระผูกพันตามกฎหมายของบริษัท
  20. 20)ดำเนินการตามที่จำเป็นเพื่อประโยชน์ที่ชอบด้วยกฎหมายของบริษัท หรือของบุคคลอื่น หรือของนิติบุคคลอื่นที่เกี่ยวข้องกับการการดำเนินการของบริษัท
  21. 21)ป้องกัน หรือหยุดยั้งอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งรวมถึงการเฝ้าระวังโรคระบาด
  22. 22)จัดเตรียมเอกสารทางประวัติศาสตร์เพื่อประโยชน์สาธารณะ การค้นคว้า หรือจัดทำสถิติที่ บริษัทได้รับมอบหมายให้ดำเนินการ
  23. 23)เพื่อการปฏิบัติตามกฎหมาย ประกาศ คำสั่งที่มีผลบังคับใช้ หรือการดำเนินการเกี่ยวกับคดีความ การดำเนินการเกี่ยวกับข้อมูลตามหมายศาล รวมถึงการใช้สิทธิเกี่ยวกับข้อมูลของท่าน
  24. 24)เพื่อการวิเคราะห์ ประมวลผล ทำกิจกรรมส่งเสริมการตลาด การวิจัย และการขาย รวมถึงการประชาสัมพันธ์สินค้า และบริการต่างๆ ไม่ว่าจะเป็นของบริษัทเอง บริษัทในเครือ คู่ค้า พันธมิตรทางธุรกิจ หรือของบุคคลอื่นผ่านการแจ้งเตือนในรูปแบบต่างๆ เช่น ผ่านหน้าจออุปกรณ์พกพา ทาง SMS หรือ ทางสื่อ Social เป็นต้น

10. ประเภทบุคคลที่บริษัทเปิดเผยข้อมูลส่วนบุคคลของท่าน

ภายใต้วัตถุประสงค์ที่ได้ระบุไว้ใน ข้อ 9 ข้างต้น บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่บุคคลดังต่อไปนี้ ทั้งนี้ ประเภทของบุคคลผู้รับข้อมูลที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการเปิดเผยข้อมูลส่วนบุคคลของบริษัทเป็นการทั่วไป เฉพาะบุคคลผู้รับข้อมูลที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่ท่านใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้

ประเภทบุคคลผู้รับข้อมูลรายละเอียด
หน่วยงานของรัฐหรือผู้มีอำนาจที่บริษัท ต้องเปิดเผยข้อมูลเพื่อวัตถุประสงค์ในการดำเนินการตามกฎหมายหรือวัตถุประสงค์สำคัญอื่นหน่วยงานผู้บังคับใช้กฎหมาย หรือมีอำนาจควบคุมกำกับดูแลหรือมีวัตถุประสงค์อื่นที่มีความสำคัญ เช่น กรมการปกครอง กรมสรรพากร สำนักงานตำรวจ ศาล สำนักงานอัยการ กรมควบคุมโรค กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กรมการกงสุล เป็นต้น 
บุคคลต่าง ๆ ที่เกี่ยวข้องกับการดำเนินการตามกฎหมายของบริษัทบริษัทอาจเปิดเผยข้อมูลของท่านแก่บุคคลผู้ดำรงตำแหน่งกรรมการ เช่น ผู้บริหารของบริษัท เป็นต้น
คู่สัญญาซึ่งดำเนินการเกี่ยวกับสวัสดิการของผู้ปฏิบัติงานของบริษัทบุคคลภายนอกที่บริษัทจัดซื้อจัดจ้างให้ดำเนินการเกี่ยวกับสวัสดิการ เช่น บริษัทประกันภัย โรงพยาบาล บริษัทผู้จัดทำ Payroll ธนาคาร ผู้ให้บริการโทรศัพท์ เป็นต้น
พันธมิตรทางธุรกิจบริษัทอาจเปิดเผยข้อมูลของท่านแก่บุคคลที่ร่วมงานกับบริษัท เพื่อประโยชน์ในการให้บริการแก่ท่าน เช่น หน่วยงานผู้ให้บริการที่ท่านติดต่อผ่านบริการของบริษัท ผู้ให้บริการด้านการตลาด สื่อโฆษณา สถาบันการเงิน ผู้ให้บริการแพลตฟอร์ม ผู้ให้บริการโทรคมนาคม เป็นต้น
ผู้ให้บริการบริษัทอาจมอบหมายให้บุคคลอื่นเป็นผู้ให้บริการแทน หรือสนับสนุนการดำเนินการของบริษัท เช่น ผู้ให้บริการด้านการจัดเก็บข้อมูล (เช่น คลาวด์ โกดัง) ผู้พัฒนาระบบ ซอฟต์แวร์ แอปพลิเคชัน เว็บไซต์ ผู้ให้บริการจัดส่งเอกสาร ผู้ให้บริการด้านการชำระเงิน ผู้ให้บริการอินเทอร์เน็ต ผู้ให้บริการโทรศัพท์ ผู้ให้บริการด้าน Digital ID ผู้ให้บริการสื่อสังคมออนไลน์ ผู้ให้บริการด้านการบริหารความเสี่ยง ที่ปรึกษาภายนอก ผู้ให้บริการขนส่ง เป็นต้น
ผู้รับข้อมูลประเภทอื่นบริษัทอาจเปิดเผยข้อมูลของท่านให้แก่บุคคลผู้รับข้อมูลประเภทอื่น เช่น ผู้ติดต่อบริษัท สมาชิกในครอบครัว มูลนิธิที่ไม่แสวงหากำไร วัด โรงพยาบาล สถานศึกษา หรือหน่วยงานอื่น ๆ เป็นต้น ทั้งนี้ เพื่อการดำเนินการเกี่ยวกับบริการของบริษัท การฝึกอบรม การรับรางวัล การร่วมทำบุญ บริจาค เป็นต้น
การเปิดเผยข้อมูลต่อสาธารณะบริษัทอาจเปิดเผยข้อมูลของท่านต่อสาธารณะในกรณีที่มีความจำเป็น 

11. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

ในบางกรณีบริษัทอาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่ท่าน เช่น เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์ (Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (Server) อยู่ต่างประเทศ (เช่น ประเทศสิงคโปร์ หรือสหรัฐอเมริกา เป็นต้น) เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย ทั้งนี้ขึ้นอยู่กับบริการของบริษัทที่ท่านใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม

อย่างไรก็ตาม ในขณะที่จัดทำนโยบายฉบับนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังมิได้มีประกาศกำหนดรายการประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ดังนี้ เมื่อ บริษัทมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังประเทศปลายทาง บริษัทจะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล หรือดำเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย ได้แก่

  1. เป็นการปฏิบัติตามกฎหมายที่กำหนดให้บริษัทต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
  2. ได้แจ้งให้ท่านทราบและได้รับความยินยอมจากท่านในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด 
  3. เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่ท่านเป็นคู่สัญญากับบริษัทหรือเป็นการทำตามคำขอของท่านก่อนการเข้าทำสัญญานั้น
  4. เป็นการกระทำตามสัญญาของบริษัทกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของท่าน
  5. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่านหรือของบุคคลอื่น เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้ 
  6. เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

12. ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน

บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ตามรายละเอียดที่ได้กำหนดไว้ในนโยบาย ประกาศหรือตามกฎหมายที่เกี่ยวข้อง ทั้งนี้เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลของท่านสิ้นความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้ว บริษัทจะทำการลบ ทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลของท่านไม่สามารถระบุตัวตนได้ต่อไป ตามรูปแบบและมาตรฐานการลบทำลายข้อมูลส่วนบุคคลที่คณะกรรมการหรือกฎหมายจะได้ประกาศกำหนดหรือตามมาตรฐานสากล อย่างไรก็ดีในกรณีที่มีข้อพิพาท การใช้สิทธิหรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคลของท่าน บริษัทขอสงวนสิทธิในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด

บริษัทกำหนดกรอบการพิจารณาระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล (Data Retention Guideline) โดยพิจารณาตามหลักการความจำเป็นเป็นสำคัญภายใต้กรอบการพิจารณาความจำเป็น ดังนี้

  • หากมีระยะเวลาตามกฎหมายระบุชัดเจนให้เก็บรักษาข้อมูลส่วนบุคคลส่วนใดไว้เป็นระยะเวลานานเท่าใด ให้จัดเก็บตามกำหนดเวลานั้น
  • กรณีเป็นการเก็บข้อมูลส่วนบุคคลเนื่องจากความจำเป็นที่พิจารณาโดยอาศัยความสัมพันธ์ต่างๆ ที่บริษัทมีกับเจ้าของข้อมูล เช่น ด้วยฐานสัญญาให้เก็บข้อมูลไว้เท่าที่จำเป็นเพื่อการปฏิบัติตามหน้าที่ในสัญญา เช่น ตลอดระยะเวลาการให้บริการหรือตราบเท่าที่จะมีการยกเลิกสัญญาหรือความสัมพันธ์ที่เกี่ยวข้องซึ่งอาจมีระยะเวลาแน่นอนหรือไม่ก็เป็นได้แต่มีกรอบระยะเวลาการเก็บรักษาที่ชัดเจนแน่นอนซึ่งคาดหมายได้โดยเจ้าของข้อมูล
  • กรณีเป็นการเก็บข้อมูลเพื่อประโยชน์อันชอบธรรมให้เก็บข้อมูลดังกล่าวไว้ตามกรอบที่เหมาะสมเพื่อการใช้สิทธิในแต่ละกรณีดังกล่าว เช่น ตามระยะเวลาอายุความกรณีการฟ้องร้องต่อสู้สิทธิต่างๆ ทั้งนี้ หลักการสำคัญที่ต้องพิจารณา คือ การประมวลผลข้อมูลส่วนบุคคลดังกล่าวต้องไม่กระทบสิทธิของเจ้าของข้อมูลมากเกินสมควรและบริษัทต้องให้สิทธิเจ้าของข้อมูลในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลโดยฐานดังกล่าวได้ตามสิทธิที่มี
  • กรณีการประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานความยินยอมให้เก็บข้อมูลได้ตราบเท่าที่เจ้าของข้อมูลยังไม่ได้ใช้สิทธิในการถอนความยินยอม ซึ่งเป็นสิทธิอิสระที่เจ้าของข้อมูลสามารถดำเนินการได้ตลอดระยะเวลาตามสิทธิที่ตนเองมีและบริษัทเคารพสิทธิในการตัดสินใจดังกล่าว
  • กรณีข้อมูลส่วนบุคคลที่บริษัทประมวลผลเป็นข้อมูลส่วนบุคคลอ่อนไหว เช่น ประวัติอาชญากรรม หรือประวัติสุขภาพการรักษาพยาบาล หรือข้อมูลชีวภาพอื่นๆ บริษัทต้องใช้ความระมัดระวังในการบริหารจัดการและประมวลผลข้อมูลส่วนบุคคลด้วยมาตรฐานที่สูงขึ้น โดยเฉพาะระยะเวลาในการทำลายข้อมูลดังกล่าวควรจำกัดให้มีการลบหรือทำลายในทันทีที่หมดความจำเป็น
  • เมื่อพ้นระยะเวลาเก็บรักษาข้อมูลส่วนบุคคลตามกรอบที่กำหนดไว้แล้ว บริษัทจะลบทำลายข้อมูลส่วนบุคคลดังกล่าวหรือจะดำเนินการทำให้ข้อมูลกลายเป็นข้อมูลนิรนามขึ้นอยู่กับลักษณะของข้อมูล โดยหลักการแล้ว บริษัทกำหนดรอบในการทำลายเอกสารที่ครบกำหนดความจำเป็นเป็นรายปีปฏิทิน ทั้งนี้ สำหรับการทำลายข้อมูลที่อยู่ในรูปแบบกระดาษ บริษัทกำหนดให้ผู้ให้บริการภายนอกเป็นผู้ดำเนินการดังกล่าวโดยต้องรับประกันการจัดทำข้อตกลงและเงื่อนไขการประมวลผลข้อมูลส่วนบุคคลและต้องได้รับการประกันความสมบูรณ์ในการทำลายเอกสารดังกล่าว และกรณีของข้อมูลอิเล็กทรอนิกส์ต้องดำเนินการทำลายทางเทคนิคอย่างเหมาะสมและหากมีการบันทึกข้อมูลดังกล่าวในอุปกรณ์หรือเครื่องมือใด เช่น USB หรือคอมพิวเตอร์ใดๆ ต้องใช้ความพยายามอย่างดีที่สุดในการทำลายข้อมูลดังกล่าวทั้งหมดตามบันทึกรายการการประมวลผลข้อมูลที่มีการจัดเก็บไว้

กระบวนการในการบริหารจัดการเอกสาร 

– ฝ่ายที่เกี่ยวข้องซึ่งเป็นฝ่ายที่รับผิดชอบข้อมูลและเอกสารดังกล่าวโดยตรงมีหน้าที่ในการตรวจสอบ เอกสารที่ถึงกาหนดเคลื่อนย้ายหรือทำลายตามนโยบายการเก็บรักษาที่ได้ประกาศไว้

– เมื่อถึงกำหนดระยะเวลาการเคลื่อนย้ายหรือทำลาย ฝ่ายนั้นต้องปิดกล่องผนึกพร้อมลงวันที่และ แจ้งส่งกล่องเอกสารดังกล่าวเพื่อให้ฝ่ายบริหารสานักงานซึ่งจะทำหน้าที่เพียงการบริหารจัดการ การเข้า-ออกของเอกสาร

– กรณีการเคลื่อนย้ายเอกสารไปโกดัง หรือการทำลายเอกสารต้องมีตัวแทนของฝ่ายที่เกี่ยวข้องซึ่งเป็นเจ้าของข้อมูลและฝ่ายบริหารจัดการสานักงานไปร่วมในการดำเนินการดังกล่าว โดยรับผิดชอบจัดทำบันทึกและสารบัญระบบเอกสารร่วมกันเพื่อประโยชน์ในการติดตามเอกสารเหล่านั้น

– การทำลายเอกสารโดยผู้ให้บริการภายนอกต้องดำเนินการโดยรับประกันความสมบูรณ์และการ รักษาความมั่นคงปลอดภัยของข้อมูล โดยต้องมีการจัดทำสัญญาการประมวลผลข้อมูลส่วนบุคคลระหว่างบริษัทและผู้ให้บริการภายนอกขึ้น

13.การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง

บริษัทอาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของบริษัท ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ เช่น การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็นผู้ให้บริการคลาวด์ (Cloud computing service/provider) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น

การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น บริษัทจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่บริษัทมอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่บริษัทมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของบริษัทเท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้

ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนี้บริษัทจะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างบริษัทกับผู้ประมวลผลข้อมูลส่วนบุคคล

14.การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

บริษัทมีมาตรการปกป้องข้อมูลส่วนบุคคล โดยการจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของบริษัทอย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่ โดยบริษัทมีมาตรการรักษาความปลอดภัยข้อมูลทั้งในเชิงองค์กรหรือเชิงเทคนิคที่ได้มาตรฐานสากล และเป็นไปตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

นอกจากนี้ เมื่อบริษัทมีการส่ง โอนหรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามพันธกิจ ตามสัญญา หรือข้อตกลงในรูปแบบอื่น บริษัทจะกำหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนด เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ

การประเมินและบริหารจัดการความเสี่ยงการประมวลผลข้อมูลส่วนบุคคล

บริษัทกำหนดดำเนินการประเมินความเสี่ยงการประมวลผลข้อมูลส่วนบุคคลเพื่อตรวจสอบความพร้อมและความถูกต้องสอดคล้องในการประมวลผลข้อมูลตามกฎหมายในภาพรวมขององค์กร (Enterprise Risk Management Level) อย่างน้อยปีละ 1 ครั้งหรือทุกครั้งที่มีการเปลี่ยนแปลงที่เพิ่มเติมรูปแบบการประมวลผลข้อมูลส่วนบุคคลจากที่ได้ประเมินไว้ภายใต้หลักการที่กำหนดให้แต่ละหน่วยงานที่เกี่ยวข้องในโครงสร้างการกำกับดูแลมีหน้าที่และความรับผิดชอบในกระบวนการประเมินการบริหารจัดการความเสี่ยงในการประมวลผลข้อมูลส่วนบุคคลภายในหน่วยงานของตน รวมถึงการติดตามและรายงานผลด้านความเสี่ยงให้แก่หน่วยงานกำกับดูแลตามที่กำหนดไว้ตามลำดับขั้นและถึงคณะกรรมการบริษัท

บนพื้นฐานการประเมินความเสี่ยงในระดับองค์กรสำหรับการประมวลผลข้อมูลส่วนบุคคลที่มีความเสี่ยงสูงที่จะมีผลกระทบถึงสิทธิเสรีภาพของบุคคลที่อาจนำไปสู่การเสียประโยชน์ทางเศรษฐกิจและสังคมอย่างมีนัยสำคัญของเจ้าของข้อมูลส่วนบุคคลหรือที่จะทำให้เจ้าของข้อมูลไม่สามารถควบคุมข้อมูลส่วนบุคคลของตนได้ บริษัทกำหนดให้ต้องมีการจัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ Data Processing Impact Assessment เพิ่มขึ้นก่อนการตัดสินใจดำเนินการประมวลผลข้อมูลส่วนบุคคลกรณีดังกล่าว ทั้งนี้ การดำเนินการประเมินต้องดำเนินการภายใต้หลักการ ดังนี้ 

(1) ต้องมีการอธิบายรายละเอียดการประมวลผลข้อมูลดังกล่าวซึ่งระบุถึงขอบเขตการประเมินผลวัตถุประสงค์ความจำเป็นในการประมวลผลข้อมูลดังกล่าว 

(2) ต้องมีกระบวนการปรึกษาหารือกับผู้มีส่วนเกี่ยวข้องต่างๆ ได้แก่ เจ้าของข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องโดยต้องจัดทำกระบวนการปรึกษาหารือทั้งภายในและภายนอกองค์กร (3) ต้องมีคำอธิบายที่ชัดเจนเกี่ยวกับความจำเป็นและความได้สัดส่วนของการประมวลผลข้อมูล 

(4) การประเมินความเสี่ยงที่จะมีผลกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลโดยคำนึงถึง “ความน่าจะเป็น” (likelihood) และ “ความร้ายแรง” (severity)

(5) รายละเอียดมาตรการในการลดความเสี่ยงที่ระบุไว้ ทั้งนี้ ต้องมีการจดบันทึกและทำรายงานการประเมินดังกล่าวทีละขั้นตอน

บริษัทกำหนดการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลภายใต้หลักการป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบภายใต้กรอบการรับประกัน ดังนี้

● ข้อมูลทั้งหมดจะได้รับการเก็บรักษาไว้อย่างปลอดภัยและเป็นความลับ (Confidentiality) โดยถือว่าข้อมูลส่วนบุคคลทั้งหมด โดยเฉพาะข้อมูลส่วนบุคคลอ่อนไหวเป็นข้อมูลความลับสูงสุด

● ข้อมูลทั้งหมดต้องเป็นข้อมูลที่ถูกต้อง เชื่อถือได้ เป็นไปตามข้อมูลที่ทางผู้เป็นเจ้าของข้อมูลได้ให้ข้อมูลดังกล่าวขึ้นมาโดยไม่เกิดการแก้ไขโดยไม่ได้รับอนุญาต (Integrity) และ

● ข้อมูลต้องมีความพร้อมใช้งานได้ทันทีที่ต้องการ (Availability)

บริษัทกำหนดจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลซึ่งครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการผ่านโครงสร้างการจัดตั้งที่กำหนดขึ้น มาตรการป้องกันด้านเทคนิคและมาตรการป้องกันทางกายภาพภายใต้หลักการในการควบคุมเงื่อนไขการเข้าถึงและเข้าใช้ข้อมูลส่วนบุคคลในแต่ละระดับข้อมูลผ่านระบบ Authorization Matrix ตาม Role-Based การจัดการระบบเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง

การเปลี่ยนแปลง การลบ หรือถ่ายโอนข้อมูลส่วนบุคคลได้ โดยเฉพาะอย่างยิ่งกรณีส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอ่อนไหว

บริษัทกำหนดบันทึกและจัดเก็บหลักฐาน (logs) ของการเข้าถึง เปลี่ยนแปลง ข้อมูลส่วนบุคคลในส่วน ต่างๆ โดยกำหนดให้หัวหน้าฝ่ายหรือหน่วยงานที่เกี่ยวข้องรับผิดชอบทำการสอบทานบันทึก Log เพื่อให้สามารถตรวจความผิดปกติของ Log อย่างสม่ำเสมอ และหน่วยงานอื่นๆ ตรวจสอบ Log ดังกล่าวตามลำดับ Line of Defense ที่เกี่ยวข้อง

ในการดำเนินการควบคุมและบริหารจัดการการประมวลผลข้อมูลส่วนบุคคลทั้งหมด บริษัทกำหนดให้ ดำเนินการภายใต้กรอบ Maker-Checker และต้องมีการตรวจสอบทดสอบประสิทธิภาพในการทำงาน ของมาตรการและกลไกต่างๆ อย่างสม่ำเสมอ

กรณีที่บริษัทใช้เครื่องมืออุปกรณ์หรือทรัพย์สินสารสนเทศใดในการเก็บและประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลไม่ว่ากลุ่มใดก็ตาม บริษัทต้องดำเนินการจัดทำทะเบียนทรัพย์สินดังกล่าวให้ครบถ้วน และโดยเฉพาะอย่างยิ่งต้องกำหนดจำกัดสิทธิหรือเงื่อนไขในการใช้ทรัพย์สินสารสนเทศที่เป็นของพนักงานแต่ละคน (BYOD) ให้ชัดเจนเพื่อให้มีมาตรฐานในการรักษาความมั่นคงของข้อมูลส่วนบุคคลในทุกอุปกรณ์ทรัพย์สินสารสนเทศ ทั้งนี้ ควรจำกัดการใช้ BYOD เพื่อการเก็บรักษาหรือประมวลผลข้อมูลส่วนบุคคลให้เหลือน้อยที่สุดเพื่อป้องกันความเสี่ยงของการละเมิดหรือรั่วไหลของข้อมูลส่วนบุคคล

บริษัทกำหนดนโยบายการสำรองข้อมูลส่วนบุคคลที่มีความสำคัญทั้งหมดให้ครบถ้วนให้สามารถพร้อมใช้งานได้อย่างต่อเนื่องเพื่อรับประกันให้ข้อมูลส่วนบุคคลดังกล่าวพร้อมใช้งานได้ตลอดเวลาโดยไม่หยุดชะงัก ทั้งนี้ ต้องจัดให้มีการทดสอบข้อมูลสำรองและกระบวนการกู้คืนข้อมูล (Data Recovery) อย่างน้อยปีละ 1 ครั้งเพื่อให้มั่นใจได้ว่าข้อมูลส่วนบุคคลทั้งหมดที่มีการประมวลผลมีความถูกต้องครบถ้วนและสามารถใช้งานได้ภายในระยะเวลาที่กาหนด ทั้งนี้ สำหรับการใช้ Data Recovery Site บริษัทจะพิจารณาให้บุริมสิทธิกับผู้ให้บริการภายในประเทศไทยเป็นหลักเพื่อรับประกันความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

บริษัทกำหนดกระบวนการในการควบคุมและรักษาความปลอดภัยของการประมวลผลข้อมูลส่วนบุคคลโดยผู้ให้บริการภายนอกอย่างชัดเจน โดยกำหนดมาตรฐานตั้งแต่กระบวนการคัดเลือกผู้ให้บริการภายนอก การทำสัญญา การกำหนดมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศที่ผู้ให้บริการภายนอกอาจเข้าถึงโดยจากัดการเข้าถึงและการใช้งานเฉพาะเท่าที่จำเป็นเท่านั้นและรับประกันการรักษามาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่ผู้ให้บริการดังกล่าวอาจเข้าถึงให้ได้มาตรฐานเดียวกันกับมาตรฐานของบริษัท ทั้งนี้ หน่วยงานที่ว่าจ้างผู้ให้บริการดังกล่าวมีหน้าที่ในการติดตามและตรวจสอบการปฏิบัติหน้าที่ของผู้ให้บริการภายนอกให้เป็นไปตามมาตรฐานที่กำหนดตามกำหนดระยะเวลาเป็นปกติ โดยหากพบความผิดปกติหรือการละเมิดให้ดำเนินการลงโทษผู้ให้บริการดังกล่าวทันทีโดยรับประกันไม่ให้เกิดผลกระทบต่อความต่อเนื่องในการให้บริการของบริษัท

การบริหารจัดการเหตุการณ์ละเมิดข้อมูลส่วนบุคคล

บุคคลภายนอกอาจปิดกั้นหรือเข้าถึงข้อมูลส่วนบุคคลที่ส่งต่อไปยังหรืออยู่ในช่องทางการให้บริการของบริษัทอย่างผิดกฎหมาย เทคโนโลยีอาจทำงานผิดปกติหรือไม่ทำงานตามที่คาดหวัง หรือบุคคลใดอาจเข้าถึง ใช้ข้อมูลอย่างไม่เหมาะสม หรือใช้ข้อมูลในทางที่ผิด โดยที่ไม่ได้มีสาเหตุมาจากบริษัทถึงกระนั้นก็ตาม เราจะใช้มาตรการด้านความปลอดภัยที่สมเหตุสมผลเพื่อคุ้มครองข้อมูลส่วนบุคคลของคุณตามที่กำหนดไว้ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล อย่างไรก็ดี เราไม่สามารถรับประกันถึงความปลอดภัยได้โดยสิ้นเชิงในกรณีที่มิอาจหลีกเลี่ยงได้ เช่นว่าแต่ไม่จำกัดเพียง เมื่อการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตเกิดจากการเจาะข้อมูลที่ประสงค์ร้ายที่มีความซับซ้อนโดยผู้ที่ไม่พอใจ โดยที่ไม่ได้มีสาเหตุมาจากบริษัท

– บริษัทกำหนดให้คณะทำงานคุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ในการกำหนดนโยบายและมาตรการในการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลหรือเกิดเป็นเหตุละเมิดข้อมูลส่วนบุคคลโดยประสานกับหน่วยงานที่เกี่ยวข้อง ทั้งนี้ คณะทำงานคุ้มครองข้อมูลส่วนบุคคลเป็นผู้ทำหน้าที่รับแจ้งเหตุการณ์และบริหารจัดการเหตุการณ์ดังกล่าวก่อน ทั้งนี้ บริษัทต้องทบทวนแผนการดำเนินการดังกล่าวอย่างน้อยปีละ 1 ครั้งและเมื่อมีการเปลี่ยนแปลงที่ส่งผลกระทบกับแผนดังกล่าว

– กรณีเกิดเหตุละเมิดข้อมูลส่วนบุคคล คณะทำงานคุ้มครองข้อมูลส่วนบุคคลต้องทำหน้าที่ในการรายงานเหตุการณ์ดังกล่าวให้คณะกรรมการบริษัททราบเพื่อจัดเตรียมเอกสารรายงานจัดส่งให้แก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายในกรอบระยะเวลาการรายงาน 72 ชั่วโมงแต่ทราบเหตุและให้แจ้งเหตุแก่เจ้าของข้อมูลส่วนบุคคลกรณีได้รับผลกระทบ

– ภายหลังสิ้นสุดเหตุละเมิดดังกล่าว คณะทำงานคุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ในการตรวจสอบและ สอบทานเพื่อพิจารณา Root Cause ของเหตุการณ์ดังกล่าวเพื่อจัดทารายงานเสนอต่อคณะกรรมการ บริษัททราบและเพื่อเป็นแผนการในการปรับปรุงแก้ไขป้องกันเหตุละเมิดที่อาจเกิดขึ้นในอนาคตต่อไป

15.การเชื่อมต่อเว็บไซต์หรือบริการภายนอก

บริการของบริษัทอาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลที่สาม ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีการประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีเนื้อหาสาระแตกต่างจากนโยบายนี้ บริษัท ขอแนะนำให้ท่านศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการนั้น ๆ เพื่อทราบในรายละเอียดก่อนการเข้าใช้งาน ทั้งนี้บริษัทไม่มีความเกี่ยวข้องและไม่มีอำนาจควบคุมถึงมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดังกล่าวและไม่สามารถรับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์หรือบริการของบุคคลที่สาม

16.เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

บริษัทได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อทำหน้าที่ตรวจสอบ กำกับและให้คำแนะนำในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงการประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

เพื่อรับประกันการกำกับดูแลและบริหารจัดการด้านการคุ้มครองการประมวลผลข้อมูลส่วนบุคคลให้สมบูรณ์ บริษัทกำหนดจัดตั้งโครงสร้างดังต่อไปนี้ 

– คณะกรรมการบริษัทมีหน้าที่หลักกำหนดทิศทางและกากับดูแลการประมวลผลข้อมูลส่วนบุคคลใน ภาพรวมของบริษัทและบริหารจัดการความเสี่ยงต่างๆ ที่อาจเกิดจากประมวลผลข้อมูลส่วนบุคคล โดยมีบทบาทหลักในการตรวจสอบและอนุมัติทุกนโยบายย่อยและคู่มือแนวทางการปฏิบัติที่ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล 

รองประธานกรรมการ รับผิดชอบโดยตรงในการกากับดูแลการปฏิบัติงานการประมวลผลข้อมูลส่วนบุคคลโดยรวมของบริษัทผ่านการกำกับดูแลและการรายงานของหัวหน้าหน่วยงาน หรือ ประธานฝ่ายที่เกี่ยวข้องภายใต้การมอบหมายและการชี้นำของคณะกรรมการบริษัท 

– เพื่อการกำกับดูแลการปฏิบัติงานประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามนโยบายและกฎหมาย บริษัทกำหนดดำเนินการประมวลผลข้อมูลส่วนบุคคลภายใต้รูปแบบโครงสร้าง 3 Lines of Defense ดังนี้ 

1st Line of Defense: Risk Owner ได้แก่ ประธาน หรือหัวหน้าฝ่าย/หน่วยงานภายในซึ่งมีหน้าที่รับผิดชอบโดยตรงในการกากับดูแลการประมวลผลข้อมูลส่วนบุคคลของพนักงานภายในหน่วยงานของตนให้ถูกต้องและสอดคล้องกับนโยบายและกฎหมายที่เกี่ยวข้อง 

2nd Line of Defense: Risk Control กำหนดให้มีการแต่งตั้งคณะทำงานคุ้มครองข้อมูลส่วนบุคคล (Data Protection Working Committee) ซึ่งประกอบด้วยหัวหน้าฝ่ายที่มีการประมวลผลข้อมูลส่วนบุคคลต่างๆในบริษัท ฝ่ายกำกับดูแลการปฏิบัติการ (Compliance) โดยการทำงานของคณะกรรมการดังกล่าวต้องเป็นไปอย่างอิสระภายใต้หลักการ maker-checker ดังนั้น กรณีการตรวจสอบการทำงานฝ่ายงานใด หัวหน้าฝ่ายงานดังกล่าวย่อมไม่มีสิทธิในการแทรกแซงหรือให้คำแนะนาใด

3rd Line of Defense: Risk Assurance ได้แก่ คณะกรรมการตรวจสอบภายใน (Internal Audit หรือ Audit Committee) ซึ่งมีหน้าที่กำกับดูแลและตรวจสอบการดำเนินการประมวลผลข้อมูลส่วนบุคคลของทุกหน่วยงานอีกครั้ง โดยดำเนินการเป็นปกติ

17.สิทธิของท่านตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ ทั้งนี้ สิทธิดังกล่าวจะเริ่มมีผลบังคับใช้เมื่อกฎหมายในส่วนของสิทธินี้มีผลใช้บังคับ โดยรายละเอียดของสิทธิต่าง ๆ ประกอบด้วย

1) สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล ท่านมีสิทธิขอเข้าถึง รับสำเนาและขอให้เปิดเผยที่มาของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมไว้โดยปราศจากความยินยอมของท่าน เว้นแต่กรณีที่ บริษัทมีสิทธิปฏิเสธคำขอของท่านด้วยเหตุตามกฎหมายหรือคำสั่งศาล หรือกรณีที่การใช้สิทธิของท่านจะมีผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น 

2) สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้องสมบูรณ์และเป็นปัจจุบันหากท่านพบว่าข้อมูลส่วนบุคคลของท่านไม่ถูกต้อง ไม่ครบถ้วนหรือไม่เป็นปัจจุบัน ท่านมีสิทธิขอให้แก้ไขเพื่อให้มีความถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิดได้

3) สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคลท่านมีสิทธิขอให้บริษัทลบหรือทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลของท่านไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ต่อไป ทั้งนี้ การใช้สิทธิลบหรือทำลายข้อมูลส่วนบุคคลนี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด

4) สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล ท่านมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลของท่าน ทั้งนี้ ในกรณีดังต่อไปนี้

  1. เมื่ออยู่ในช่วงเวลาที่บริษัททำการตรวจสอบตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน
  2. ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้หรือเปิดเผยโดยมิชอบด้วยกฎหมาย
  3. เมื่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่บริษัทได้แจ้งในการเก็บรวบรวม แต่เจ้าของข้อมูลส่วนบุคคลประสงค์ให้บริษัท เก็บรักษาข้อมูลนั้นต่อไปเพื่อประกอบการใช้สิทธิตามกฎหมาย
  4. เมื่ออยู่ในช่วงเวลาที่บริษัทกำลังพิสูจน์ถึงเหตุอันชอบด้วยกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือตรวจสอบความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะ อันเนื่องมาจากการที่เจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

5) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล ท่านมีสิทธิคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับท่าน เว้นแต่กรณีที่บริษัทมีเหตุในการปฏิเสธคำขอโดยชอบด้วยกฎหมาย (เช่น บริษัทสามารถแสดงให้เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านมีเหตุอันชอบด้วยกฎหมายยิ่งกว่า หรือเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือเพื่อประโยชน์สาธารณะของบริษัท)

6) สิทธิในการขอถอนความยินยอม ในกรณีที่ท่านได้ให้ความยินยอมแก่บริษัท ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (ไม่ว่าความยินยอมนั้นจะได้ให้ไว้ก่อนหรือหลังพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับ) ท่านมีสิทธิถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของท่านถูกเก็บรักษาโดยบริษัท เว้นแต่มีข้อจำกัดสิทธิโดยกฎหมายให้บริษัทจำเป็นต้องเก็บรักษาข้อมูลต่อไปหรือยังคงมีสัญญาระหว่างท่านกับบริษัทที่ให้ประโยชน์แก่ท่านอยู่

7) สิทธิในการขอรับส่งหรือโอนข้อมูลส่วนบุคคลท่านมีสิทธิในการขอรับข้อมูลส่วนบุคคลของท่านจากบริษัทในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยวิธีการอัตโนมัติ รวมถึงอาจขอให้ บริษัท ส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ทั้งนี้ การใช้สิทธินี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด

18.โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล

การไม่ปฏิบัติตามนโยบายอาจมีผลเป็นความผิดและถูกลงโทษทางวินัยตามกฎเกณฑ์ของบริษัท (สำหรับพนักงานหรือผู้ปฏิบัติงานของบริษัท) หรือตามข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (สำหรับผู้ประมวลผลข้อมูลส่วนบุคคล) ทั้งนี้ ตามแต่กรณีและความสัมพันธ์ที่ท่านมีต่อบริษัท และอาจได้รับโทษตามที่กำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งกฎหมายลำดับรอง กฎ ระเบียบ คำสั่งที่เกี่ยวข้อง

19.การร้องเรียนต่อหน่วยงานผู้มีอำนาจกำกับดูแล

ในกรณีที่ท่านพบว่าบริษัทมิได้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านมีสิทธิร้องเรียนไปยังคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานที่มีอำนาจกำกับดูแลที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือตามกฎหมาย ทั้งนี้ ก่อนการร้องเรียนดังกล่าวบริษัทขอให้ท่านโปรดติดต่อมายังบริษัท เพื่อให้บริษัทมีโอกาสได้รับทราบข้อเท็จจริงและได้ชี้แจงในประเด็นต่าง ๆ รวมถึงจัดการแก้ไขข้อกังวลของท่านก่อนเป็นลำดับแรก

20.การปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล

บริษัทอาจพิจารณาปรับปรุง แก้ไขหรือเปลี่ยนแปลงนโยบายนี้ตามที่เห็นสมควร และจะทำการแจ้งให้ท่านทราบผ่านช่องทางเว็บไซต์ www.sahamongkolfilm.com และ/หรือผ่านทางอีเมล์หรือช่องทางการติดต่ออื่นๆ ที่ได้ให้ไว้กับบริษัท โดยมีวันที่มีผลบังคับใช้ของแต่ละฉบับและวันที่แก้ไขปรับปรุงกำกับอยู่ อย่างไรก็ดีบริษัทขอแนะนำให้ท่านโปรดตรวจสอบเพื่อรับทราบนโยบายฉบับใหม่อย่างสม่ำเสมอ ผ่านเว็บไซต์ www.sahamongkolfilm.com หรือแอปพลิเคชัน หรือช่องทางเฉพาะกิจกรรมที่บริษัทดำเนินการ โดยเฉพาะก่อนที่ท่านจะทำการเปิดเผยข้อมูลส่วนบุคคลแก่บริษัท

การเข้าใช้งานผลิตภัณฑ์หรือบริการของบริษัทภายหลังการบังคับใช้นโยบายใหม่ ถือเป็นการรับทราบตามข้อตกลงในนโยบายใหม่แล้ว ทั้งนี้ โปรดหยุดการเข้าใช้งานหากท่านไม่เห็นด้วยกับรายละเอียดในนโยบายฉบับนี้และโปรดติดต่อมายังบริษัทเพื่อให้มีการชี้แจงข้อเท็จจริงต่อไป

บริษัทกำหนดให้มีการทบทวนหรือปรับปรุงนโยบายฉบับนี้ โดยประธานเจ้าหน้าที่ฝ่ายบริหารต้องพิจารณาจากรายงานการปฏิบัตินโยบายการบริหารจัดการคุ้มครองการประมวลผลข้อมูลที่นำเสนอโดย 3 Lines of Defense อย่างน้อยปีละ 1 ครั้ง หรือกรณีที่มีการเปลี่ยนแปลงอย่างมีนัยสำคัญต่อธุรกิจบริษัทหรือกระบวนการประมวลผลข้อมูลส่วนบุคคลที่บริษัทดำเนินการเพื่อให้นโยบายเป็นปัจจุบันอยู่เสมอ โดยจะมีการเสนอให้คณะกรรมการบริษัทพิจารณารับรองทุกครั้งที่มีการทบทวนและแก้ไขเปลี่ยนแปลง

21.การติดต่อสอบถามหรือใช้สิทธิ

หากท่านมีข้อสงสัย ข้อเสนอแนะหรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของบริษัท หรือเกี่ยวกับนโยบายนี้ หรือท่านต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านสามารถติดต่อสอบถามได้ที่

1) ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

  • ชื่อ: คุณวาสนา แตงทอง
  • สถานที่ติดต่อ: บริษัทสหมงคลฟิล์มอินเตอร์เนชั่นแนลจำกัด
  • ช่องทางการติดต่อ: hr@sahamongkofilm.com 
  • เบอร์โทรศัพท์: 02-2792555 ต่อ 708

2) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)

  • ชื่อ: คุณกัลยาณี ทรัพย์สุนทรกุล
  • สถานที่ติดต่อ: บริษัทสหมงคลฟิล์มอินเตอร์เนชั่นแนลจำกัด
  • ช่องทางการติดต่อ: lawyer1@sahamongkolfilm.com 
  • เบอร์โทรศัพท์: 02-2792555 ต่อ 632