top of page

นโยบาย—นโยบายคุ้มครองข้อมูล GDPR

 

คุณต้องอ่านนโยบายนี้เนื่องจากให้ข้อมูลที่สำคัญเกี่ยวกับ:

 

  • หลักการคุ้มครองข้อมูลที่บริษัทต้องปฏิบัติตาม

  • ความหมายของข้อมูลส่วนบุคคล (หรือข้อมูล) และข้อมูลส่วนบุคคลที่ละเอียดอ่อน (หรือข้อมูล)

  • วิธีที่เรารวบรวม ใช้ และ (ในที่สุด) ลบข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่ละเอียดอ่อนตามหลักการการคุ้มครองข้อมูล

  • ซึ่งสามารถค้นหาข้อมูลความเป็นส่วนตัวที่มีรายละเอียดมากขึ้นได้ เช่น เกี่ยวกับข้อมูลส่วนบุคคลที่เรารวบรวมและใช้เกี่ยวกับคุณ วิธีการใช้ จัดเก็บและโอนข้อมูล เพื่อจุดประสงค์ใด ขั้นตอนในการเก็บรักษาข้อมูลนั้นให้ปลอดภัยและเก็บไว้นานเท่าใด

  • สิทธิ์และหน้าที่ของคุณที่เกี่ยวข้องกับการปกป้องข้อมูล และ

  • ผลของการไม่ปฏิบัติตามนโยบายนี้

 

  1. บทนำ

 

  1. บริษัทได้รับ เก็บรักษา และใช้ข้อมูลส่วนบุคคล (หรือเรียกว่าข้อมูล) เกี่ยวกับผู้สมัครงานและเกี่ยวกับพนักงานปัจจุบันและอดีต พนักงานชั่วคราวและพนักงานจ้างเหมา ผู้รับจ้าง ผู้ฝึกงาน อาสาสมัคร และเด็กฝึกงานเพื่อวัตถุประสงค์ทางกฎหมายเฉพาะหลายประการตามที่กำหนดไว้ใน ประกาศความเป็นส่วนตัวในการคุ้มครองข้อมูลของบริษัทที่เกี่ยวข้องกับการรับสมัครและการจ้างงาน

 

  1. นโยบายนี้กำหนดวิธีที่เราปฏิบัติตามภาระผูกพันในการปกป้องข้อมูลของเรา และพยายามปกป้องข้อมูลส่วนบุคคลที่เกี่ยวข้องกับพนักงานของเรา จุดประสงค์คือเพื่อให้มั่นใจว่าพนักงานเข้าใจและปฏิบัติตามกฎที่ควบคุมการรวบรวม การใช้ และการลบข้อมูลส่วนบุคคลที่พวกเขาอาจเข้าถึงได้ในระหว่างการทำงาน

 

  1. เรามุ่งมั่นที่จะปฏิบัติตามภาระหน้าที่ในการปกป้องข้อมูลของเรา และมีความรัดกุม ชัดเจน และโปร่งใสเกี่ยวกับวิธีที่เราได้รับและใช้ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับพนักงานของเรา และวิธี (และเมื่อใด) ที่เราจะลบข้อมูลนั้นเมื่อไม่ต้องการใช้อีกต่อไป

 

  1. เจ้าหน้าที่คุ้มครองข้อมูลของบริษัทมีหน้าที่แจ้งและให้คำแนะนำแก่บริษัทและพนักงานเกี่ยวกับภาระหน้าที่ในการปกป้องข้อมูล และติดตามการปฏิบัติตามภาระผูกพันเหล่านั้นและนโยบายของบริษัท หากคุณมีคำถามหรือข้อคิดเห็นเกี่ยวกับเนื้อหาของนโยบายนี้ หรือหากต้องการข้อมูลเพิ่มเติม คุณควรติดต่อเจ้าหน้าที่คุ้มครองข้อมูลทางอีเมล:dpo@confirmsend.co.

 

  1. ขอบเขต

 

  1. นโยบายนี้ใช้กับข้อมูลส่วนบุคคลของผู้สมัครงานและพนักงานปัจจุบันและอดีต รวมถึงพนักงาน พนักงานชั่วคราวและพนักงานจ้างเหมา ผู้ฝึกงาน อาสาสมัคร และเด็กฝึกงาน

 

  1. พนักงานควรดูประกาศความเป็นส่วนตัวในการคุ้มครองข้อมูลของบริษัท และตามความเหมาะสม ให้ดูนโยบายที่เกี่ยวข้องอื่น ๆ รวมถึงที่เกี่ยวข้องกับอินเทอร์เน็ต อีเมลและการสื่อสาร การตรวจสอบ โซเชียลมีเดีย ความปลอดภัยของข้อมูล การเก็บรักษาข้อมูล และข้อมูลประวัติอาชญากร ซึ่งมีข้อมูลเพิ่มเติมเกี่ยวกับ การคุ้มครองข้อมูลส่วนบุคคลในบริบทเหล่านั้น

 

  1. เราจะตรวจสอบและปรับปรุงนโยบายนี้เป็นประจำตามภาระหน้าที่ในการปกป้องข้อมูลของเรา ไม่ได้เป็นส่วนหนึ่งของสัญญาจ้างงานของพนักงาน และเราอาจแก้ไข ปรับปรุง หรือเพิ่มเติมเป็นครั้งคราว เราจะแจ้งนโยบายใหม่หรือนโยบายที่แก้ไขให้กับพนักงานก่อนที่จะนำไปใช้

 

  1. คำจำกัดความ

 

  1. ข้อมูลประวัติอาชญากรรม

หมายถึงข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการกระทำความผิดทางอาญา ข้อกล่าวหา การดำเนินคดี และมาตรการรักษาความปลอดภัยที่เกี่ยวข้อง

 

  1. การละเมิดข้อมูล

หมายถึง การละเมิดความปลอดภัยที่นำไปสู่การทำลาย การสูญหาย การเปลี่ยนแปลง การเปิดเผย หรือการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดยไม่ชอบด้วยกฎหมาย

 

  1. เรื่องข้อมูล

หมายถึงบุคคลที่ข้อมูลส่วนบุคคลเกี่ยวข้อง

 

  1. ข้อมูลส่วนบุคคล

(บางครั้งเรียกว่าข้อมูลส่วนบุคคล) หมายถึงข้อมูลที่เกี่ยวข้องกับบุคคลที่สามารถระบุได้ (ทางตรงหรือทางอ้อม) จากข้อมูลนั้น

 

  1. ข้อมูลการประมวลผล

หมายถึง การได้มา บันทึก จัดระเบียบ จัดเก็บ แก้ไข ค้นคืน เปิดเผย และ/หรือ ทำลายข้อมูล หรือใช้หรือดำเนินการใดๆ กับข้อมูลนั้น

 

  1. นามแฝง

หมายถึงกระบวนการที่ข้อมูลส่วนบุคคลถูกประมวลผลในลักษณะที่ไม่สามารถใช้เพื่อระบุตัวบุคคลโดยไม่ต้องใช้ข้อมูลเพิ่มเติม ซึ่งจะถูกเก็บไว้แยกต่างหากและอยู่ภายใต้มาตรการทางเทคนิคและองค์กรเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลนั้นไม่สามารถระบุแหล่งที่มาได้ บุคคลที่สามารถระบุตัวตนได้;

 

  1. ข้อมูลส่วนบุคคลที่ละเอียดอ่อน

(บางครั้งเรียกว่า 'ข้อมูลส่วนบุคคลประเภทพิเศษ' หรือ 'ข้อมูลส่วนบุคคลที่ละเอียดอ่อน') หมายถึงข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ ชาติพันธุ์ ความเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา การเป็นสมาชิกสหภาพแรงงาน (หรือการไม่เป็นสมาชิก) ข้อมูลทางพันธุศาสตร์ ข้อมูลไบโอเมตริกซ์ (ซึ่งใช้ในการระบุตัวบุคคล) และข้อมูลเกี่ยวกับสุขภาพ ชีวิตทางเพศ หรือรสนิยมทางเพศของบุคคล

 

  1. หลักการคุ้มครองข้อมูล

 

  1. บริษัทจะปฏิบัติตามหลักการคุ้มครองข้อมูลต่อไปนี้เมื่อประมวลผลข้อมูลส่วนบุคคล:

 

  1. เราจะประมวลผลข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย ยุติธรรม และโปร่งใส

 

  1. เราจะรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ระบุ ชัดเจน และชอบด้วยกฎหมายเท่านั้น และจะไม่ประมวลผลในทางที่ขัดแย้งกับวัตถุประสงค์ที่ชอบด้วยกฎหมายเหล่านั้น

 

  1. เราจะประมวลผลข้อมูลส่วนบุคคลที่เพียงพอ เกี่ยวข้อง และจำเป็นสำหรับวัตถุประสงค์ที่เกี่ยวข้องเท่านั้น

 

  1. เราจะรักษาข้อมูลส่วนบุคคลที่ถูกต้องและเป็นปัจจุบัน และดำเนินการตามสมควรเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่ไม่ถูกต้องจะถูกลบหรือแก้ไขโดยไม่ชักช้า

 

  1. เราจะเก็บข้อมูลส่วนบุคคลไว้ในรูปแบบที่อนุญาตให้ระบุตัวตนของเจ้าของข้อมูลได้ไม่เกินความจำเป็นสำหรับวัตถุประสงค์ในการประมวลผลข้อมูล และ

 

  1. เราจะใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลได้รับการเก็บรักษาอย่างปลอดภัยและป้องกันจากการประมวลผลที่ไม่ได้รับอนุญาตหรือไม่ชอบด้วยกฎหมาย และป้องกันการสูญหาย การทำลาย หรือความเสียหายโดยไม่ได้ตั้งใจ

 

  1. พื้นฐานสำหรับการประมวลผลข้อมูลส่วนบุคคล

 

  1. ในส่วนที่เกี่ยวข้องกับกิจกรรมการประมวลผลใดๆ เราจะดำเนินการก่อนที่การประมวลผลจะเริ่มต้นขึ้นเป็นครั้งแรก และจากนั้นจะทำเป็นประจำในขณะที่ดำเนินต่อไป:

 

  1. ทบทวนวัตถุประสงค์ของกิจกรรมการประมวลผลเฉพาะ และเลือกพื้นฐานที่ถูกต้องตามกฎหมาย (หรือฐาน) ที่เหมาะสมที่สุดสำหรับการประมวลผลนั้น เช่น:

 

  1. เจ้าของข้อมูลยินยอมให้มีการประมวลผล

 

  1. การประมวลผลนั้นจำเป็นสำหรับการปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา หรือเพื่อดำเนินการตามขั้นตอนตามคำขอของเจ้าของข้อมูลก่อนที่จะทำสัญญา

 

  1. การประมวลผลนั้นจำเป็นสำหรับการปฏิบัติตามข้อผูกพันทางกฎหมายที่สำนักงานต้องปฏิบัติตาม;

 

  1. การประมวลผลนั้นจำเป็นสำหรับการปกป้องผลประโยชน์ที่สำคัญของเจ้าของข้อมูลหรือบุคคลธรรมดาอื่น

 

  1. การประมวลผลนั้นจำเป็นสำหรับการปฏิบัติงานที่ดำเนินการเพื่อสาธารณประโยชน์

 

  1. การประมวลผลนั้นจำเป็นสำหรับวัตถุประสงค์ของผลประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือบุคคลที่สาม เว้นแต่ผลประโยชน์เหล่านั้นจะถูกลบล้างโดยผลประโยชน์ของสิทธิขั้นพื้นฐานและเสรีภาพของเจ้าของข้อมูล โปรดดูข้อ 5.2 ด้านล่าง

 

  1. เว้นแต่ว่าการประมวลผลจะขึ้นอยู่กับความยินยอม ให้เราพึงพอใจว่าการประมวลผลนั้นจำเป็นสำหรับวัตถุประสงค์ของพื้นฐานทางกฎหมายที่เกี่ยวข้อง (กล่าวคือ ไม่มีวิธีอื่นใดที่สมเหตุสมผลในการบรรลุวัตถุประสงค์นั้น)

 

  1. บันทึกการตัดสินใจของเราว่าใช้พื้นฐานทางกฎหมายใด เพื่อช่วยแสดงให้เห็นถึงการปฏิบัติตามหลักการคุ้มครองข้อมูลของเรา

 

 

  1. รวมข้อมูลเกี่ยวกับวัตถุประสงค์ของการประมวลผลและพื้นฐานทางกฎหมายในประกาศความเป็นส่วนตัวที่เกี่ยวข้องของเรา

 

  1. เมื่อมีการประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อน ให้ระบุเงื่อนไขพิเศษที่ชอบด้วยกฎหมายสำหรับการประมวลผลข้อมูลนั้นด้วย (ดูย่อหน้า 6.2.2 ด้านล่าง) และจัดทำเป็นเอกสาร และ

 

  1. เมื่อมีการประมวลผลข้อมูลความผิดทางอาญา ให้ระบุเงื่อนไขที่ชอบด้วยกฎหมายสำหรับการประมวลผลข้อมูลนั้นและจัดทำเป็นเอกสาร

 

  1. เมื่อพิจารณาว่าผลประโยชน์โดยชอบด้วยกฎหมายของบริษัทเป็นพื้นฐานที่เหมาะสมที่สุดสำหรับการดำเนินการตามกฎหมายหรือไม่ เราจะ:

 

  1. ดำเนินการประเมินผลประโยชน์โดยชอบด้วยกฎหมาย (LIA) และเก็บบันทึกไว้ เพื่อให้แน่ใจว่าเราสามารถพิสูจน์การตัดสินใจของเราได้

 

  1. หาก LIA ระบุผลกระทบด้านความเป็นส่วนตัวอย่างมีนัยสำคัญ ให้พิจารณาว่าเราจำเป็นต้องทำการประเมินผลกระทบด้านการปกป้องข้อมูล (DPIA) ด้วยหรือไม่

 

  1. เก็บ LIA ไว้ภายใต้การตรวจสอบ และทำซ้ำหากสถานการณ์เปลี่ยนไป และ

 

  1. รวมข้อมูลเกี่ยวกับผลประโยชน์ที่ชอบด้วยกฎหมายของเราในประกาศความเป็นส่วนตัวที่เกี่ยวข้องของเรา

 

  1. ข้อมูลส่วนบุคคลที่ละเอียดอ่อน

 

  1. ข้อมูลส่วนบุคคลที่ละเอียดอ่อนบางครั้งเรียกว่า 'ข้อมูลส่วนบุคคลประเภทพิเศษ' หรือ 'ข้อมูลส่วนบุคคลที่ละเอียดอ่อน'

 

  1. บริษัทอาจจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อนเป็นครั้งคราว เราจะประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อนก็ต่อเมื่อ:

 

  1. เรามีพื้นฐานทางกฎหมายสำหรับการทำเช่นนั้นตามที่กำหนดไว้ในย่อหน้า 5.1.1 ข้างต้น เช่น จำเป็นสำหรับการปฏิบัติตามสัญญาจ้างงาน เพื่อปฏิบัติตามภาระผูกพันทางกฎหมายของสำนักงานหรือเพื่อวัตถุประสงค์ของผลประโยชน์ที่ชอบด้วยกฎหมายของสำนักงาน; และ

 

  1. หนึ่งในเงื่อนไขพิเศษสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อนมีผลบังคับใช้ เช่น:

 

  1. เจ้าของข้อมูลได้ให้ความยินยอมอย่างชัดแจ้ง

 

  1. การประมวลผลเป็นสิ่งจำเป็นสำหรับวัตถุประสงค์ของการใช้สิทธิตามกฎหมายการจ้างงานหรือข้อผูกพันของสำนักงานหรือเจ้าของข้อมูล

 

  1. การประมวลผลเป็นสิ่งจำเป็นเพื่อปกป้องผลประโยชน์ที่สำคัญของเจ้าของข้อมูล และเจ้าของข้อมูลไม่สามารถให้ความยินยอมได้

 

  1. การประมวลผลเกี่ยวข้องกับข้อมูลส่วนบุคคลที่เจ้าของข้อมูลเปิดเผยต่อสาธารณะอย่างชัดแจ้ง

 

  1. การประมวลผลเป็นสิ่งจำเป็นสำหรับการจัดตั้ง การดำเนินการ หรือการป้องกันข้อเรียกร้องทางกฎหมาย หรือ

 

  1. การประมวลผลมีความจำเป็นด้วยเหตุผลที่เป็นประโยชน์สาธารณะอย่างมาก

 

  1. ก่อนประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อน พนักงานต้องแจ้งเจ้าหน้าที่คุ้มครองข้อมูลถึงการประมวลผลที่เสนอ เพื่อให้เจ้าหน้าที่คุ้มครองข้อมูลประเมินว่าการประมวลผลเป็นไปตามเกณฑ์ที่ระบุไว้ข้างต้นหรือไม่

 

  1. ข้อมูลส่วนบุคคลที่ละเอียดอ่อนจะไม่ถูกประมวลผลจนกว่า:

 

  1. การประเมินที่อ้างถึงในวรรค 6.3 ได้เกิดขึ้นแล้ว และ

 

  1. บุคคลนั้นได้รับแจ้งอย่างถูกต้อง (โดยการประกาศความเป็นส่วนตัวหรืออย่างอื่น) ถึงลักษณะของการประมวลผล วัตถุประสงค์ในการดำเนินการ และพื้นฐานทางกฎหมายสำหรับการประมวลผลนั้น

 

  1. บริษัทจะไม่ดำเนินการตัดสินใจโดยอัตโนมัติ (รวมถึงการจัดทำโปรไฟล์) ตามข้อมูลส่วนบุคคลที่ละเอียดอ่อนของบุคคลใดๆ

 

  1. ประกาศความเป็นส่วนตัวในการคุ้มครองข้อมูลของบริษัทกำหนดประเภทของข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่บริษัทประมวลผล สิ่งที่ใช้สำหรับและพื้นฐานทางกฎหมายสำหรับการประมวลผล

 

  1. เกี่ยวกับข้อมูลส่วนบุคคลที่ละเอียดอ่อน บริษัทจะปฏิบัติตามขั้นตอนที่กำหนดไว้ในวรรค 6.8 และ 6.9 ด้านล่างเพื่อให้แน่ใจว่าเป็นไปตามหลักการคุ้มครองข้อมูลที่กำหนดไว้ในวรรค 4 ข้างต้น

 

  1. ในระหว่างกระบวนการสรรหา: ผู้จัดการเจ้าหน้าที่ พร้อมด้วยคำแนะนำจากเจ้าหน้าที่คุ้มครองข้อมูล จะตรวจสอบให้แน่ใจว่า (ยกเว้นในกรณีที่กฎหมายอนุญาตเป็นอย่างอื่น):

 

  1. ในระหว่างขั้นตอนการคัดเลือก การสัมภาษณ์ และการตัดสินใจ จะไม่มีการถามคำถามเกี่ยวกับข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น เชื้อชาติหรือชาติพันธุ์ สมาชิกสหภาพแรงงาน หรือสุขภาพ

 

  1. หากได้รับข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น ผู้สมัครให้ข้อมูลโดยไม่ได้ร้องขอภายในประวัติย่อของเขาหรือเธอหรือในระหว่างการสัมภาษณ์ จะไม่มีการเก็บบันทึกใด ๆ และการอ้างอิงถึงข้อมูลนั้นจะถูกลบหรือแก้ไขทันที

 

  1. แบบฟอร์มการติดตามโอกาสที่เท่าเทียมกันที่กรอกข้อมูลครบถ้วนจะถูกเก็บไว้แยกจากแบบฟอร์มใบสมัครของแต่ละคน และจะไม่ปรากฏโดยบุคคลที่คัดเลือก สัมภาษณ์ หรือทำการตัดสินใจในการรับสมัคร

 

  1. การตรวจสอบ 'สิทธิ์ในการทำงาน' จะดำเนินการก่อนการเสนอจ้างงานโดยไม่มีเงื่อนไข และไม่ได้อยู่ในขั้นตอนคัดเลือก สัมภาษณ์ หรือตัดสินใจก่อนหน้านี้

 

  1. เราจะไม่ถามคำถามด้านสุขภาพที่เกี่ยวข้องกับการรับสมัครงานหรือถามคำถามด้านสุขภาพเมื่อมีการเสนอการจ้างงานเท่านั้น

 

  1. ระหว่างการจ้างงาน: ผู้จัดการสำนักงานพร้อมคำแนะนำจากเจ้าหน้าที่คุ้มครองข้อมูลจะดำเนินการ:

 

  1. ข้อมูลด้านสุขภาพเพื่อวัตถุประสงค์ในการบริหารค่าจ้างการลาป่วย การเก็บบันทึกการขาดงาน การเจ็บป่วย การตรวจสอบการเข้าร่วมของพนักงาน และอำนวยความสะดวกด้านผลประโยชน์ด้านสุขภาพและโรคภัยไข้เจ็บที่เกี่ยวข้องกับการจ้างงาน

 

  1. ข้อมูลส่วนบุคคลที่ละเอียดอ่อนเพื่อวัตถุประสงค์ในการตรวจสอบโอกาสที่เท่าเทียมกันและจ่ายการรายงานความเท่าเทียมกัน หากเป็นไปได้ ข้อมูลนี้จะไม่เปิดเผยชื่อ และ

 

  1. ข้อมูลการเป็นสมาชิกสหภาพแรงงานเพื่อวัตถุประสงค์ในการบริหารงานพนักงานและการจัดการ 'เช็คเอาท์'

 

 

  1. ข้อมูลประวัติอาชญากร

 

  1. ข้อมูลประวัติอาชญากรรมจะถูกดำเนินการตามนโยบายข้อมูลประวัติอาชญากรรมของบริษัท

 

  1. การประเมินผลกระทบด้านการปกป้องข้อมูล (DPIA)

 

  1. ในกรณีที่การประมวลผลมีแนวโน้มที่จะส่งผลให้เกิดความเสี่ยงสูงต่อสิทธิ์ในการปกป้องข้อมูลของแต่ละบุคคล (เช่น ในกรณีที่บริษัทกำลังวางแผนที่จะใช้เทคโนโลยีรูปแบบใหม่) เราจะดำเนินการ DPIA ก่อนเริ่มการประมวลผลเพื่อประเมิน:

 

  1. การประมวลผลมีความจำเป็นและได้สัดส่วนตามวัตถุประสงค์หรือไม่

 

  1. ความเสี่ยงต่อบุคคล และ

 

  1. มาตรการใดที่สามารถใช้เพื่อจัดการกับความเสี่ยงเหล่านั้นและปกป้องข้อมูลส่วนบุคคล

 

  1. ก่อนที่จะมีการนำเทคโนโลยีรูปแบบใหม่มาใช้ ผู้จัดการที่รับผิดชอบควรติดต่อเจ้าหน้าที่คุ้มครองข้อมูลเพื่อให้ดำเนินการ DPIA ได้

 

  1. ในระหว่างดำเนินการ DPIA พันธมิตรจะขอคำแนะนำจากเจ้าหน้าที่คุ้มครองข้อมูลและมุมมองของผู้มีส่วนได้ส่วนเสียอื่น ๆ ที่เกี่ยวข้อง

 

  1. เอกสารและบันทึก

 

  1. เราจะเก็บบันทึกเป็นลายลักษณ์อักษรเกี่ยวกับกิจกรรมการประมวลผลที่มีความเสี่ยงสูง เช่น ซึ่งอาจส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล หรือเกี่ยวข้องกับข้อมูลส่วนบุคคลที่ละเอียดอ่อนหรือข้อมูลประวัติอาชญากรรม รวมถึง:

 

  1. ชื่อและรายละเอียดขององค์กรนายจ้าง (และในกรณีที่เกี่ยวข้อง ของผู้ควบคุมอื่น ตัวแทนนายจ้าง และ อ.ส.ค.)

 

  1. วัตถุประสงค์ของการประมวลผล

 

  1. คำอธิบายประเภทบุคคลและประเภทของข้อมูลส่วนบุคคล

 

  1. ประเภทของผู้รับข้อมูลส่วนบุคคล

 

  1. รายละเอียดของการโอนย้ายไปยังประเทศที่สามที่เกี่ยวข้อง รวมถึงเอกสารของกลไกการป้องกันการโอนที่มีอยู่

 

  1. หากเป็นไปได้ กำหนดการเก็บรักษา; และ

 

  1. หากเป็นไปได้ รายละเอียดของมาตรการรักษาความปลอดภัยทางเทคนิคและองค์กร

 

  1. ในฐานะส่วนหนึ่งของบันทึกกิจกรรมการประมวลผล เราบันทึกหรือเชื่อมโยงไปยังเอกสารบน:

 

  1. ข้อมูลที่จำเป็นสำหรับประกาศความเป็นส่วนตัว

 

  1. บันทึกความยินยอม;

 

  1. สัญญาคอนโทรลเลอร์-โปรเซสเซอร์

 

  1. ตำแหน่งของข้อมูลส่วนบุคคล

 

  1. DPIA; และ

 

  1. บันทึกการละเมิดข้อมูล

 

  1. หากเราประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อนหรือข้อมูลประวัติอาชญากรรม เราจะเก็บบันทึกเป็นลายลักษณ์อักษรเกี่ยวกับ:

 

  1. วัตถุประสงค์ที่เกี่ยวข้องซึ่งการประมวลผลเกิดขึ้น รวมถึง (เมื่อกำหนดว่าเหตุใดจึงจำเป็นสำหรับวัตถุประสงค์นั้น

 

  1. พื้นฐานทางกฎหมายสำหรับการประมวลผลของเรา และ

 

  1. ว่าเราเก็บรักษาและลบข้อมูลส่วนบุคคลตามเอกสารนโยบายของเราหรือไม่ และถ้าไม่ เหตุผลที่ไม่ปฏิบัติตามนโยบายของเรา

 

  1. เราจะดำเนินการตรวจสอบข้อมูลส่วนบุคคลที่เราดำเนินการและปรับปรุงเอกสารของเราอย่างสม่ำเสมอ ซึ่งอาจรวมถึง:

 

  1. ดำเนินการตรวจสอบข้อมูลเพื่อค้นหาว่าข้อมูลส่วนบุคคลใดที่บริษัทเก็บไว้

 

  1. แจกจ่ายแบบสอบถามและพูดคุยกับพนักงานทั่วทั้งบริษัทเพื่อให้ได้ภาพรวมที่สมบูรณ์ยิ่งขึ้นของกิจกรรมการประมวลผลของเรา และ

 

  1. ทบทวนนโยบาย ขั้นตอน สัญญาและข้อตกลงของเราเพื่อระบุประเด็นต่างๆ เช่น การเก็บรักษา ความปลอดภัย และการแบ่งปันข้อมูล

 

  1. แจ้งให้ทราบความเป็นส่วนตัว

 

  1. บริษัทจะออกประกาศเกี่ยวกับความเป็นส่วนตัวเป็นระยะๆ เพื่อแจ้งให้คุณทราบเกี่ยวกับข้อมูลส่วนบุคคลที่เรารวบรวมและถือครองที่เกี่ยวข้องกับคุณ วิธีที่คุณสามารถคาดหวังว่าข้อมูลส่วนบุคคลของคุณจะถูกนำมาใช้และเพื่อวัตถุประสงค์ใด

 

  1. เราจะใช้มาตรการที่เหมาะสมเพื่อให้ข้อมูลในประกาศความเป็นส่วนตัวในรูปแบบที่กระชับ โปร่งใส เข้าใจได้ และเข้าถึงได้ง่าย โดยใช้ภาษาที่ชัดเจนและธรรมดา

 

  1. สิทธิส่วนบุคคล

 

  1. คุณ (เช่นเดียวกับเจ้าของข้อมูลอื่นๆ) มีสิทธิ์ต่อไปนี้เกี่ยวกับข้อมูลส่วนบุคคลของคุณ:

 

  1. เพื่อรับทราบเกี่ยวกับวิธี เหตุผล และพื้นฐานการประมวลผลข้อมูล โปรดดูประกาศความเป็นส่วนตัวในการคุ้มครองข้อมูลของบริษัท

 

  1. เพื่อขอรับการยืนยันว่าข้อมูลของคุณกำลังถูกประมวลผล และเพื่อขอรับการเข้าถึงข้อมูลและข้อมูลอื่นๆ บางอย่าง โดยการทำคำขอเข้าถึงเรื่อง—ดูที่นโยบายการร้องขอการเข้าถึงเรื่องของบริษัท

 

  1. เพื่อแก้ไขข้อมูลหากไม่ถูกต้องหรือไม่สมบูรณ์

 

  1. ให้มีการลบข้อมูลหากไม่จำเป็นอีกต่อไปสำหรับวัตถุประสงค์ในการรวบรวม/ประมวลผลเดิม หรือหากไม่มีเหตุผลที่ถูกต้องตามกฎหมายสำหรับการประมวลผล (บางครั้งเรียกว่า 'สิทธิ์ที่จะถูกลืม')

 

  1. เพื่อจำกัดการประมวลผลข้อมูลส่วนบุคคลในกรณีที่ความถูกต้องของข้อมูลถูกโต้แย้ง หรือการประมวลผลนั้นผิดกฎหมาย (แต่คุณไม่ต้องการให้ข้อมูลถูกลบ) หรือในกรณีที่นายจ้างไม่ต้องการข้อมูลส่วนบุคคลอีกต่อไป แต่คุณต้องการให้ข้อมูลดังกล่าว สร้าง ใช้ หรือปกป้องการเรียกร้องทางกฎหมาย; และ

 

  1. เพื่อจำกัดการประมวลผลข้อมูลส่วนบุคคลเป็นการชั่วคราวโดยที่คุณไม่คิดว่าถูกต้อง (และนายจ้างกำลังตรวจสอบว่าถูกต้องหรือไม่) หรือในกรณีที่คุณคัดค้านการประมวลผล (และนายจ้างกำลังพิจารณาว่าเหตุผลที่ถูกต้องตามกฎหมายขององค์กรอยู่เหนือผลประโยชน์ของคุณหรือไม่ ).

 

  1. หากคุณต้องการใช้สิทธิ์ใดๆ ในวรรค 11.1.3 ถึง 11.1.6 โปรดติดต่อเจ้าหน้าที่คุ้มครองข้อมูล

 

  1. ภาระผูกพันส่วนบุคคล

 

  1. บุคคลมีหน้าที่รับผิดชอบในการช่วยให้บริษัทรักษาข้อมูลส่วนบุคคลของตนให้ทันสมัยอยู่เสมอ คุณควรแจ้งให้ผู้จัดการสำนักงานทราบหากข้อมูลที่คุณได้ให้ไว้กับบริษัทมีการเปลี่ยนแปลง เช่น หากคุณย้ายบ้านหรือเปลี่ยนแปลงรายละเอียดบัญชีธนาคารหรือบัญชีอาคารชุดที่คุณได้รับค่าจ้าง

 

  1. คุณอาจเข้าถึงข้อมูลส่วนบุคคลของสมาชิกคนอื่น ๆ ของพนักงาน ซัพพลายเออร์ และลูกค้าของสำนักงานในระหว่างการจ้างงานหรือการมีส่วนร่วมของคุณ หากเป็นเช่นนั้น บริษัทคาดหวังให้คุณช่วยปฏิบัติตามข้อผูกพันในการปกป้องข้อมูลแก่บุคคลเหล่านั้น ตัวอย่างเช่น คุณควรทราบว่าพวกเขาอาจได้รับสิทธิ์ที่กำหนดไว้ในวรรค 11.1 ข้างต้น

 

 

  1. หากคุณสามารถเข้าถึงข้อมูลส่วนบุคคลได้ คุณต้อง:

 

  1. เข้าถึงเฉพาะข้อมูลส่วนบุคคลที่คุณมีอำนาจในการเข้าถึง และเพื่อวัตถุประสงค์ที่ได้รับอนุญาตเท่านั้น

 

  1. อนุญาตให้พนักงานบริษัทอื่นเข้าถึงข้อมูลส่วนบุคคลได้หากได้รับอนุญาตอย่างเหมาะสมเท่านั้น

 

  1. อนุญาตให้เฉพาะบุคคลที่ไม่ใช่พนักงานของ บริษัท เข้าถึงข้อมูลส่วนบุคคลได้หากคุณมีอำนาจเฉพาะในการดำเนินการดังกล่าวจากเจ้าหน้าที่คุ้มครองข้อมูล

 

  1. รักษาข้อมูลส่วนบุคคลให้ปลอดภัย (เช่น โดยปฏิบัติตามกฎการเข้าถึงสถานที่ การเข้าถึงคอมพิวเตอร์ การป้องกันด้วยรหัสผ่านและการจัดเก็บและการทำลายไฟล์อย่างปลอดภัย และข้อควรระวังอื่น ๆ ที่กำหนดไว้ในนโยบายการรักษาความปลอดภัยของข้อมูลของบริษัท

 

  1. ไม่ลบข้อมูลส่วนบุคคลหรืออุปกรณ์ที่มีข้อมูลส่วนบุคคล (หรือสามารถใช้เพื่อเข้าถึงได้) ออกจากสถานที่ของบริษัท เว้นแต่จะมีมาตรการรักษาความปลอดภัยที่เหมาะสม (เช่น การใช้นามแฝง การเข้ารหัส หรือการป้องกันด้วยรหัสผ่าน) เพื่อรักษาความปลอดภัยข้อมูลและอุปกรณ์ และ

 

  1. ไม่เก็บข้อมูลส่วนตัวไว้ในไดรฟ์ในเครื่องหรือในอุปกรณ์ส่วนตัวที่ใช้เพื่อการทำงาน

 

  1. คุณควรติดต่อเจ้าหน้าที่คุ้มครองข้อมูลหากคุณกังวลหรือสงสัยว่ามีสิ่งใดสิ่งหนึ่งต่อไปนี้เกิดขึ้น (หรือกำลังเกิดขึ้นหรือมีแนวโน้มที่จะเกิดขึ้น):

 

  1. การประมวลผลข้อมูลส่วนบุคคลโดยไม่มีพื้นฐานทางกฎหมายสำหรับการประมวลผล หรือในกรณีของข้อมูลส่วนบุคคลที่ละเอียดอ่อน โดยไม่เป็นไปตามเงื่อนไขข้อใดข้อหนึ่งในวรรค 6.2.2

 

  1. การละเมิดข้อมูลใด ๆ ตามที่กำหนดไว้ในวรรค 15.1 ด้านล่าง

 

  1. การเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตอย่างเหมาะสม

 

  1. ข้อมูลส่วนบุคคลไม่ถูกเก็บหรือลบอย่างปลอดภัย

 

  1. การลบข้อมูลส่วนบุคคลหรืออุปกรณ์ที่มีข้อมูลส่วนบุคคล (หรือที่สามารถใช้เข้าถึงได้) ออกจากสถานที่ของบริษัทโดยไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม

 

  1. การละเมิดนโยบายนี้หรือหลักการคุ้มครองข้อมูลใด ๆ ที่กำหนดไว้ในวรรค 4.1 ข้างต้น

 

  1. ความปลอดภัยของข้อมูล

 

  1. บริษัทจะใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมตามนโยบายการรักษาความปลอดภัยของข้อมูลของบริษัทเพื่อรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และโดยเฉพาะอย่างยิ่งเพื่อป้องกันการประมวลผลที่ไม่ได้รับอนุญาตหรือไม่ชอบด้วยกฎหมาย และการสูญหาย การทำลาย หรือความเสียหายโดยไม่ได้ตั้งใจ สิ่งเหล่านี้อาจรวมถึง:

 

  1. ตรวจสอบให้แน่ใจว่าหากเป็นไปได้ ข้อมูลส่วนบุคคลจะถูกใช้นามแฝงหรือเข้ารหัส

 

  1. การรักษาความลับอย่างต่อเนื่อง ความสมบูรณ์ ความพร้อมใช้งานและความยืดหยุ่นของระบบการประมวลผลและบริการ

 

  1. ตรวจสอบให้แน่ใจว่าในกรณีของเหตุการณ์ทางกายภาพหรือทางเทคนิค ความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลสามารถเรียกคืนได้ในเวลาที่เหมาะสม และ

 

  1. กระบวนการสำหรับการทดสอบ ประเมิน และประเมินประสิทธิผลของมาตรการทางเทคนิคและองค์กรอย่างสม่ำเสมอเพื่อให้มั่นใจถึงความปลอดภัยของการประมวลผล

 

  1. ในกรณีที่บริษัทใช้องค์กรภายนอกในการประมวลผลข้อมูลส่วนบุคคลในนามของบริษัท จำเป็นต้องมีการเตรียมการรักษาความปลอดภัยเพิ่มเติมในสัญญากับองค์กรเหล่านั้นเพื่อรักษาความปลอดภัยให้กับข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่ง สัญญากับองค์กรภายนอกจะต้องระบุว่า:

 

  1. องค์กรอาจดำเนินการตามคำสั่งเป็นลายลักษณ์อักษรของสำนักงานเท่านั้น

 

  1. ผู้ที่ประมวลผลข้อมูลจะต้องมีหน้าที่ในการเก็บเป็นความลับ

 

  1. มีการใช้มาตรการที่เหมาะสมเพื่อรับประกันความปลอดภัยของการประมวลผล

 

  1. ผู้รับเหมาช่วงจะทำงานโดยได้รับความยินยอมล่วงหน้าจากสำนักงานและภายใต้สัญญาที่เป็นลายลักษณ์อักษรเท่านั้น

 

  1. องค์กรจะช่วยบริษัทในการเข้าถึงเรื่องและอนุญาตให้บุคคลใช้สิทธิ์ที่เกี่ยวข้องกับการปกป้องข้อมูล

 

  1. องค์กรจะช่วยบริษัทในการปฏิบัติตามพันธกรณีที่เกี่ยวข้องกับการรักษาความปลอดภัยของการประมวลผล การแจ้งเตือนการละเมิดข้อมูลและการประเมินผลกระทบต่อการปกป้องข้อมูล

 

  1. องค์กรจะลบหรือส่งคืนข้อมูลส่วนบุคคลทั้งหมดให้กับบริษัทตามที่ร้องขอเมื่อสิ้นสุดสัญญา และ

 

  1. องค์กรจะส่งไปยังการตรวจสอบและการตรวจสอบ ให้ข้อมูลใดๆ ที่จำเป็นแก่บริษัทเพื่อให้มั่นใจว่าทั้งสองปฏิบัติตามภาระหน้าที่ในการปกป้องข้อมูล และแจ้งให้บริษัททราบทันทีหากได้รับการร้องขอให้ดำเนินการบางอย่างที่ละเมิดกฎหมายคุ้มครองข้อมูล

 

  1. ก่อนที่จะมีการทำข้อตกลงใหม่ใดๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลโดยองค์กรภายนอก หรือข้อตกลงที่มีอยู่จะมีการเปลี่ยนแปลง เจ้าหน้าที่ที่เกี่ยวข้องจะต้องขอการอนุมัติข้อกำหนดจากเจ้าหน้าที่คุ้มครองข้อมูล

 

  1. การจัดเก็บและการรักษาข้อมูลส่วนบุคคล

 

  1. ข้อมูลส่วนบุคคล (และข้อมูลส่วนบุคคลที่ละเอียดอ่อน) จะถูกเก็บไว้อย่างปลอดภัยตามนโยบายการรักษาความปลอดภัยของข้อมูลของบริษัท

 

  1. ข้อมูลส่วนบุคคล (และข้อมูลส่วนบุคคลที่ละเอียดอ่อน) ไม่ควรเก็บไว้นานเกินความจำเป็น ระยะเวลาที่ควรเก็บรักษาข้อมูลจะขึ้นอยู่กับสถานการณ์ รวมถึงเหตุผลที่ได้รับข้อมูลส่วนบุคคล พนักงานควรปฏิบัติตามนโยบายการเก็บรักษาบันทึกของบริษัทซึ่งกำหนดระยะเวลาการเก็บรักษาที่เกี่ยวข้อง หรือเกณฑ์ที่ควรใช้ในการกำหนดระยะเวลาการเก็บรักษา หากมีความไม่แน่นอน พนักงานควรปรึกษา [เจ้าหน้าที่คุ้มครองข้อมูล;

 

  1. ข้อมูลส่วนบุคคล (และข้อมูลส่วนตัวที่ละเอียดอ่อน) ที่ไม่จำเป็นอีกต่อไปจะถูกลบออกจากระบบข้อมูลของเราอย่างถาวร และสำเนาเอกสารใดๆ จะถูกทำลายอย่างปลอดภัย

 

  1. การละเมิดข้อมูล

 

  1. การละเมิดข้อมูลอาจมีหลายรูปแบบ ตัวอย่างเช่น:

 

  1. การสูญหายหรือถูกขโมยข้อมูลหรืออุปกรณ์ที่ใช้เก็บข้อมูลส่วนบุคคล

 

  1. การเข้าถึงหรือใช้ข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตไม่ว่าจะโดยพนักงานหรือบุคคลที่สาม

 

  1. การสูญหายของข้อมูลที่เป็นผลมาจากความล้มเหลวของอุปกรณ์หรือระบบ (รวมถึงฮาร์ดแวร์และซอฟต์แวร์)

 

  1. ความผิดพลาดของมนุษย์ เช่น การลบหรือแก้ไขข้อมูลโดยไม่ตั้งใจ

 

  1. สถานการณ์ที่ไม่คาดฝัน เช่น ไฟไหม้หรือน้ำท่วม

 

  1. การโจมตีโดยเจตนาต่อระบบไอที เช่น การแฮ็ก ไวรัส หรือการหลอกลวงแบบฟิชชิ่ง และ

 

  1. ความผิด 'หมิ่นประมาท' ซึ่งข้อมูลได้มาจากการหลอกลวงองค์กรที่ถือครองข้อมูลนั้น

 

  1. บริษัทจะ:

 

  1. ทำรายงานที่จำเป็นเกี่ยวกับการละเมิดข้อมูลต่อสำนักงานคณะกรรมาธิการข้อมูลข่าวสารโดยไม่ชักช้า และหากเป็นไปได้ภายใน 72 ชั่วโมงหลังจากทราบ หากมีแนวโน้มที่จะส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล และ

 

  1. แจ้งให้บุคคลที่ได้รับผลกระทบทราบหากการละเมิดข้อมูลมีแนวโน้มที่จะส่งผลให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของพวกเขา และกฎหมายกำหนดให้ต้องแจ้งเตือน

 

  1. การโอนระหว่างประเทศ

 

  1. บริษัทอาจถ่ายโอนข้อมูลส่วนบุคคลนอกเขตเศรษฐกิจยุโรป (EEA) (ซึ่งประกอบด้วยประเทศในสหภาพยุโรปและไอซ์แลนด์ ลิกเตนสไตน์ และนอร์เวย์) บนพื้นฐานที่ว่าประเทศ ดินแดน หรือองค์กรนั้นถูกกำหนดให้มีระดับการป้องกันที่เพียงพอหรือ ว่าองค์กรที่ได้รับข้อมูลได้จัดให้มีการป้องกันที่เพียงพอโดยการผูกมัดกฎขององค์กรหรือมาตราการป้องกันข้อมูลมาตรฐาน หรือการปฏิบัติตามจรรยาบรรณที่ได้รับอนุมัติ หรือด้วยความยินยอมอย่างชัดแจ้งจากลูกค้า

 

  1. การฝึกอบรม

 

  1. บริษัทจะตรวจสอบให้แน่ใจว่าพนักงานได้รับการฝึกอบรมอย่างเพียงพอเกี่ยวกับความรับผิดชอบในการปกป้องข้อมูลของตน บุคคลที่มีหน้าที่ต้องเข้าถึงข้อมูลส่วนบุคคลเป็นประจำ หรือผู้ที่รับผิดชอบในการดำเนินการตามนโยบายนี้หรือตอบสนองต่อคำขอการเข้าถึงภายใต้นโยบายนี้ จะได้รับการฝึกอบรมเพิ่มเติมเพื่อช่วยให้พวกเขาเข้าใจหน้าที่ของตนและวิธีปฏิบัติตาม

 

  1. ผลของการไม่ปฏิบัติตาม

 

  1. บริษัทปฏิบัติตามนโยบายนี้อย่างจริงจัง ไม่ปฏิบัติตามนโยบาย:

 

  1. ก่อให้เกิดความเสี่ยงต่อบุคคลที่มีการประมวลผลข้อมูลส่วนบุคคล และ

 

  1. มีความเสี่ยงที่จะถูกลงโทษทั้งทางแพ่งและทางอาญาสำหรับบุคคลและบริษัท และ

 

  1. ในบางกรณีอาจถือเป็นความผิดทางอาญาของบุคคล

 

  1. เนื่องจากความสำคัญของนโยบายนี้ พนักงานไม่ปฏิบัติตามข้อกำหนดใด ๆ อาจนำไปสู่การลงโทษทางวินัยภายใต้ขั้นตอนของเรา และการกระทำนี้อาจส่งผลให้ถูกเลิกจ้างเนื่องจากการประพฤติผิดอย่างร้ายแรง หากผู้ที่ไม่ใช่พนักงานละเมิดนโยบายนี้ พวกเขาอาจถูกยกเลิกสัญญาโดยมีผลทันที

 

  1. หากคุณมีคำถามหรือข้อกังวลใดๆ เกี่ยวกับนโยบายนี้ โปรดอย่าลังเลที่จะติดต่อเจ้าหน้าที่คุ้มครองข้อมูล

 

 

 

ฉันได้อ่านและทำความเข้าใจนโยบายนี้แล้วและตกลงที่จะปฏิบัติตามข้อกำหนด

 

ลงชื่อ................................................. .................................................. .

bottom of page