บริษัท เฟดเดอรัล เทรเวิล อินเตอร์เนชั่นแนล จำกัด (“บริษัทฯ”) ตระหนักถึงความสำคัญและหน้าที่ภายใต้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยให้ความสำคัญในการเคารพสิทธิความเป็นส่วนตัวของ ลูกค้า / คู่ค้า / คู่สัญญา / พนักงานส่งเอกสาร / พนักงานรับเอกสาร / ผู้สมัครงาน / พนักงาน / บุคคลภายนอก / ผู้มาติดต่อ / ผู้รับเหมา / ผู้รับว่าจ้าง / วิทยากร / ที่ปรึกษา / ผู้ตรวจสอบ หรือบุคคลอื่น ๆ ที่เข้ามาติดต่อ ด้วยความมุ่งมั่นเป็นอย่างยิ่งที่จะคุ้มครองข้อมูลส่วนบุคคลของท่านให้มีความปลอดภัย และเพื่อให้เกิดความมั่นใจว่าข้อมูลส่วนบุคคลของท่านจะได้รับความคุ้มครองตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่นที่เกี่ยวข้องกำหนด บริษัทฯจึงได้จัดทำประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (ประกาศนโยบายความเป็นส่วนตัว) ฉบับนี้ขึ้น เพื่อแจ้งให้ทราบถึงรายละเอียดที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ เปิดเผย (รวมเรียกว่า “การประมวลผล” ) รวมถึงสิทธิตามกฎหมายในฐานะเจ้าของข้อมูลส่วนบุคคล โดยมีรายละเอียดดังต่อไปนี้
ข้อ 1. ประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (ประกาศนโยบายความเป็นส่วนตัว) นี้มีผลบังคับใช้กับใครบ้าง
ประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (ประกาศนโยบายความเป็นส่วนตัว) นี้ครอบคลุมถึงข้อมูลส่วนบุคคลของลูกค้า / คู่ค้า / คู่สัญญา / พนักงานส่งเอกสาร / พนักงานรับเอกสาร / ผู้สมัครงาน / พนักงาน / บุคคลภายนอก / ผู้มาติดต่อ / ผู้รับเหมา / ผู้รับว่าจ้าง / วิทยากร / ที่ปรึกษา / ผู้ตรวจสอบ หรือบุคคลอื่น ๆ ที่เข้ามาติดต่อ ของบริษัทฯ
“ลูกค้า / คู่ค้า / คู่สัญญา / พนักงานส่งเอกสาร / พนักงานรับเอกสาร / ผู้สมัครงาน / พนักงาน / บุคคลภายนอก / ผู้มาติดต่อ / ผู้รับเหมา / ผู้รับว่าจ้าง / วิทยากร / ที่ปรึกษา / ผู้ตรวจสอบ หรือบุคคลอื่น ๆ ที่เข้ามาติดต่อ” หมายถึง บุคคลภายนอก / ผู้มาติดต่อที่มีความสนใจในการส่งเอกสาร, รับเอกสาร, วางบิล, ติดต่อพนักงาน, ติดต่อบุคลากร, ติดต่อในการขอเข้าพื้นที่ในการดำเนินการตามที่พนักงาน, บุคลากร ได้มีการแจ้งและนัดหมาย, ผู้สมัครงาน, วิทยากร, บุคลากรหน่วยงานราชการ, ลูกค้า, คู่ค้า, คู่สัญญา ที่มีความประสงค์ในการเข้ามาในพื้นที่ของบริษัทฯ ตามแต่กรณี
ข้อ 2. ข้อมูลส่วนบุคคล หมายถึง
2.1 “ข้อมูลส่วนบุคคล” (Personal Data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล ชื่อเล่น ที่อยู่ หมายเลขโทรศัพท์ หมายเลขประจำตัวประชาชน หมายเลขหนังสือเดินทาง หมายเลขบัตรประกันสังคม หมายเลขใบอนุญาตขับขี่ หมายเลขประจำตัวผู้เสียภาษี หมายเลขบัญชีธนาคาร หมายเลขบัตรเครดิต ที่อยู่ อีเมล (email address) ทะเบียนรถยนต์ ทะเบียนบ้าน IP Address, Cookie ID, Log File เป็นต้น
อย่างไรก็ดี ข้อมูลต่อไปนี้ไม่ใช่ข้อมูลส่วนบุคคล เช่น ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล อาทิ ชื่อบริษัทฯ ที่อยู่ของบริษัทฯ เลขทะเบียนนิติบุคคลของบริษัทฯ หมายเลขโทรศัพท์ของที่ทำงาน ที่อยู่อีเมล (email address) ที่ใช้ในการทำงานที่ไม่สามารถระบุถึงผู้รับข้อมูลได้ ที่อยู่อีเมล (email address) กลุ่มของบริษัทฯ เช่น info@company.co.th ข้อมูลนิรนาม (Anonymous Data) หรือข้อมูลแฝงที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค (Pseudonymous Data) ข้อมูลผู้ถึงแก่กรรม เป็นต้น
2.2 “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” (Sensitive data) หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ซึ่งบริษัทฯต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ โดยบริษัทฯจะเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว ต่อเมื่อได้รับความยินยอมโดยชัดแจ้งจากท่าน หรือในกรณีที่บริษัทฯมีความจำเป็นต้องดำเนินการตามที่กฎหมายอนุญาต
ทั้งนี้ ต่อไปในประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (ประกาศนโยบายความเป็นส่วนตัว) ฉบับนี้ หากไม่มีการกล่าวโดยเฉพาะเจาะจงจะเรียก “ข้อมูลส่วนบุคคล” และ “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” ที่เกี่ยวกับผู้ใช้บริการข้างต้นให้รวมกันเรียกว่า “ข้อมูลส่วนบุคคล”
ข้อ 3. ข้อมูลส่วนบุคคลที่บริษัทฯเก็บรวบรวม
บริษัทฯ ได้จัดเก็บข้อมูลส่วนบุคคลของท่านเท่าที่จำเป็น ตามวัตถุประสงค์ในการใช้ข้อมูลที่บริษัทฯ จะแจ้งให้ทราบในลำดับถัดไป ทั้งนี้ได้จำแนกประเภทของข้อมูลส่วนบุคคลที่บริษัทฯ จัดเก็บไว้ ดังนี้
สำหรับลูกค้า / คู่ค้า / คู่สัญญา / พนักงานส่งเอกสาร / พนักงานรับเอกสาร / ผู้สมัครงาน / พนักงาน / บุคคลภายนอก / ผู้มาติดต่อ / ผู้รับเหมา / ผู้รับว่าจ้าง / วิทยากร / ที่ปรึกษา / ผู้ตรวจสอบ หรือบุคคลอื่น ๆ ที่เข้ามาติดต่อหรือบุคคลอื่น ๆ ที่เข้ามาติดต่อของบริษัทฯ
ข้อมูลส่วนบุคคลพื้นฐานที่ใช้สำหรับ ลูกค้า / คู่ค้า / คู่สัญญา / พนักงานส่งเอกสาร / พนักงานรับเอกสาร / ผู้สมัครงาน / พนักงาน / บุคคลภายนอก / ผู้มาติดต่อ / ผู้รับเหมา / ผู้รับว่าจ้าง / วิทยากร / ที่ปรึกษา / ผู้ตรวจสอบ หรือบุคคลอื่น ๆ ที่เข้ามาติดต่อ
หมายเลขทะเบียนรถ, ภาพถ่ายตัวบุคคล, ภาพเคลื่อนไหว, ภาพทรัพย์สินของท่าน
ข้อ 4. แหล่งที่มาของข้อมูลส่วนบุคคล
ได้รับข้อมูลส่วนบุคคลจากท่านโดยตรง
จากการเข้าพื้นที่ในบริษัทฯ ของลูกค้า / คู่ค้า / คู่สัญญา / พนักงานส่งเอกสาร / พนักงานรับเอกสาร / ผู้สมัครงาน / พนักงาน / บุคคลภายนอก / ผู้มาติดต่อ / ผู้รับเหมา / ผู้รับว่าจ้าง / วิทยากร / ที่ปรึกษา / ผู้ตรวจสอบ หรือบุคคลอื่น ๆ ที่เข้ามาติดต่อ
ข้อ 5. วัตถุประสงค์ในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล
บริษัทฯ ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน โดยมีวัตถุประสงค์ภายใต้ฐานในการประมวลผลข้อมูล ดังต่อไปนี้
5.1 การปฏิบัติตามกฎหมาย (Legal Obligation) ในการป้องกันด้านความปลอดภัยส่วนบุคคล, การป้องกันอาชญากรรม, กระบวนการพิจารณาตามกฎหมาย, การดำเนินคดีตามกฎหมายที่อาจเกิดขึ้น เพื่อปฏิบัติหน้าที่ตามที่กฎหมายกำหนด เช่น กฎหมายอาญา หรือกฎหมายอื่นที่เกี่ยวข้อง เป็นต้น
5.2 ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯโดยไม่เกินขอบเขตที่ท่านสามารถคาดหมายได้อย่างสมเหตุสมผล ซึ่งจะไม่ละเมิดสิทธิพื้นฐาน หรือสิทธิ ทางเสรีภาพของท่าน
ข้อ 6. การใช้และ / หรือการเปิดเผยข้อมูลส่วนบุคคลของท่าน
เพื่อดำเนินการตามวัตถุประสงค์ที่ระบุไว้ในประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (ประกาศนโยบายความเป็นส่วนตัว) ฉบับนี้ ข้อมูลส่วนบุคคลของท่าน อาจมีการเปิดเผยหรือนำส่งให้กับหน่วยงานต่าง ๆ ภายในบริษัทฯและบุคคลหรือหน่วยงานภายนอก ดังนี้
6.1 ภายในบริษัทฯ
ข้อมูลส่วนบุคคลของท่าน อาจมีการเปิดเผยหรือนำส่งให้กับหน่วยงานต่าง ๆ ภายในบริษัทฯ เฉพาะที่เกี่ยวข้องและมีบทบาทหน้าที่เท่าที่จำเป็นตามวัตถุประสงค์เท่านั้น โดยบุคคลหรือทีมงานเหล่านี้ของบริษัทฯจะได้รับอนุญาตให้เข้าถึงข้อมูลส่วนบุคคลของท่าน ตามความจำเป็นและเหมาะสม โดยบริษัทฯ มีมาตรการ ดังนี้
1. มาตรการเชิงเทคนิค : มีการเข้ารหัสข้อมูล
2. มาตรการเชิงกายภาพ : มีกล้องวงจรปิด, มีกุญแจเข้าพื้นที่, มีเครื่องดับเพลิง, มีเครื่องกันไฟกระชาก, มีเครื่องสำรองไฟ, มีการแสดงบัตรเข้าออกพนักงาน, มีเครื่องสแกนนิ้วมือเข้าออกพื้นที่โดยกำหนดสิทธิ์การเข้าถึง
3. มาตรการเชิงองค์กร : มีการกำหนดนโยบายความส่วนตัว (นโยบายการคุ้มครองข้อมูลส่วนบุคคล), นโยบายการเก็บรักษาและทำลายข้อมูลตามที่กำหนด, มีการเสริมสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล, มีการฝึกอบรมเชิงปฏิบัติการ, มีแผนการกู้คืนระบบ, มีแผนการรายงานเหตุการณ์ภัยคุกคาม, มีแผนการตอบสนองภัยคุกคามทางไซเบอร์, มีการกำหนดนโยบายด้านรหัสผ่าน(มีการกำหนดรหัสผ่านที่คาดเดาได้ยาก, มีการเปลี่ยนรหัสผ่านทันที เมื่อผู้ควบคุมข้อมูลส่วนบุคคลไม้ได้ปฏิบัติหน้าที่ดังกล่าว)
ทั้งนี้ ทางบริษัทฯ ได้มีมาตรการ การรักษาความปลอดภัยของข้อมูลส่วนบุคคลระบบสารสนเทศ ได้รับการตรวจสอบและรับรองจากระบบ ISO/IEC 27002 ในการจัดทำในด้านต่าง ๆ ดังนี้
- นโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศมาตรการควบคุม (Policies for information security) : บริษัทฯมีการจัดทำเอกสารนโยบายความมั่นคงปลอดภัยสารสนเทศอย่างเป็นลายลักษณ์อักษร โดยได้รับการอนุมัติจากผู้บริหารระดับสูงสุด และเผยแพร่ประชาสัมพันธ์แก่เจ้าหน้าที่ทั้งหมด ตลอดจนหน่วยงานที่เกี่ยวข้องให้รับทราบ และทบทวนตามรอบระยะเวลาที่กำหนด หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญเกิดขึ้น เพื่อให้มั่นใจว่านโยบายความมั่นคงปลอดภัยสารสนเทศ จะยังคงเหมาะสม เพียงพอและมีประสิทธิผล โดยมีนโยบายและขั้นตอนปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศ (Policy & Procedures)
- บทบาทและหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศ (Information security roles and responsibilities) : บริษัทฯมีหน้าที่ความรับผิดชอบเกี่ยวกับความมั่นคงปลอดภัยสารสนเทศทั้งหมดจะถูกกำหนดและนิยามไว้อย่างชัดเจนเป็นส่วนหนึ่งของข้อตกลงในการปฏิบัติงาน เจ้าหน้าที่ คู่สัญญาและผู้ใช้งานจากหน่วยงานภายนอกจะต้องยอมรับและลงนามในข้อตกลงและเงื่อนไขในสัญญาจ้างซึ่งต้องมีการระบุหน้าที่ความรับผิดชอบต่อความมั่นคงปลอดภัยสารสนเทศอย่างชัดเจน โดยมีเอกสารโครงสร้าง หรือคำสั่งแต่งตั้งบุคลากรในระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และสัญญาจ้างผู้ให้บริการภายนอก
- การแบ่งงานและหน้าที่ความรับผิดชอบ (Segregation of duties) : บริษัทฯมีหน้าที่และขอบเขตความรับผิดชอบ โดยจะได้รับการกำหนดและแยกให้ชัดเจนเพื่อลดโอกาสที่จะเกิดเหตุการณ์การแก้ไขโดยไม่ได้ตั้งใจหรือที่เกิดจากการที่ไม่มีสิทธิหรือการใช้งานทรัพย์สินขององค์กรที่ผิดวัตถุประสงค์ โดยมีการทำข้อมูลให้เป็นปัจจุบัน และทบทวนอย่างสม่ำเสมอ ได้แก่เอกสารภายในองค์กร Job Description, Organization Chart, Change Control Procedure
- หน้าที่ความรับผิดชอบของผู้บริหาร (Management responsibilities) : ฝ่ายบริหารมีหน้าที่กำหนดให้เจ้าหน้าที่ คู่สัญญา และผู้ใช้งานจากหน่วยงานภายนอก ปฏิบัติงานให้แก่องค์กร ตามนโยบาย และขั้นตอนปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศที่ได้ประกาศใช้
- การติดต่อหน่วยงานผู้มีอำนาจ (Contact with authorities) : บริษัทฯมีรายชื่อผู้ติดต่อที่เกี่ยวข้องและจำเป็น ซึ่งมีความรอบรู้ชำนาญหรือมีอำนาจในการตัดสินใจเมื่อเกิดเหตุการณ์ไม่พึงประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ โดยรายชื่อจะต้องได้รับการปรับปรุง บำรุงรักษาให้เหมาะสมเสมอ ได้แก่ เอกสารรายชื่อผู้ติดต่อที่เป็นกลุ่มซึ่งมีความสนใจพิเศษหรือกลุ่มผู้เชี่ยวชาญความมั่นคงปลอดภัย เช่น สกมช., หน่วยงานกำกับดูแล, ผู้ให้บริการภายนอก, หน่วยงานที่ต้องประสานงานหากเกิดเหตุเร่งด่วนฉุกเฉิน หรือแผนบำรุงรักษาการปกป้องข้อมูลส่วนบุคคล และการดำเนินการอย่างต่อเนื่องในธุรกิจ
- บัญชีทะเบียนข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่นๆ (Inventory of information and other associated assets) : ทรัพย์สินที่เกี่ยวข้องกับสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศจะต้องได้รับการระบุไว้ และจัดทำบัญชี และปรับปรุงให้เป็นปัจจุบันทุกครั้งที่มีการเปลี่ยนแปลง และทรัพย์สินต้องมีผู้รับผิดชอบ โดยมีขั้นตอนปฏิบัติสำหรับจัดการทรัพย์สินบัญชีทรัพย์สิน, รายการทรัพย์สินด้านสารสนเทศ, เอกสารที่แสดงรอบการทบทวนรายการทรัพย์สิน
- การใช้งานข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่น ๆ อย่างเหมาะสม (Acceptable use of information and other associated assets) : บริษัทฯมีกระบวนการปฏิบัติสำหรับการจัดการจัดการทรัพย์สินสารสนเทศ และการเก็บข้อมูลสารสนเทศจะต้องถูกจัดทำขึ้นเพื่อใช้ในการป้องกันข้อมูลสารสนเทศจากการถูกเปิดเผยโดยไม่มีสิทธิหรือการใช้งานที่ผิด โดยมีนโยบายความมั่นคงปลอดภัยสารสนเทศ, เอกสารที่แสดงเงื่อนไขการใช้งานทรัพย์สินสารสนเทศของบริษัทฯ เช่น การใช้คอมพิวเตอร์, การใช้อินเตอร์เน็ต, การใช้อีเมล
- การคืนทรัพย์สิน (Return of assets) : เจ้าหน้าที่, คู่สัญญา และผู้ใช้งานจากหน่วยงานภายนอกทั้งหมดจะต้องคืนทรัพย์สินขององค์กรทั้งหมดที่ครอบครองอยู่เมื่อพ้นสภาพของการจ้างงาน หรือสัญญา หรือตามข้อตกลง
- การจัดหมวดหมู่ของสารสนเทศ (Classification of information) : ข้อมูลสารสนเทศจะต้องได้รับการจำแนกตามข้อตกลงด้านมูลค่า, กฎหมาย, ความต้องการ, ความละเอียดอ่อนและผลกระทบต่อองค์กร โดยมีขั้นตอนปฏิบัติที่แสดงการจำแนกระดับชั้นความลับ
- การบ่งชี้สารสนเทศ (Labelling of information) : บริษัทฯมีกระบวนการขั้นตอนการจัดทำป้ายชื่อข้อมูลสารสนเทศและการจัดการดูแลจะต้องได้รับการพัฒนาและนำมาใช้งานตามที่ได้มีการกำหนดรูปแบบการจำแนกหมวดหมู่ ซึ่งปรับใช้ภายในบริษัทฯ โดยมีขั้นตอนปฏิบัติที่แสดงการจำแนกระดับชั้นความลับ และเอกสารที่ระบุระดับชั้นความลับ
- การถ่ายโอนข้อมูล (Information transfer) : บริษัทฯมีการจัดทำนโยบายและขั้นตอนในการแลกเปลี่ยนข้อมูลเพื่อป้องกันข้อมูลสารสนเทศที่แลกเปลี่ยน โดยครอบคลุมอุปกรณ์การสื่อสารทุกประเภท โดยมีขั้นตอนปฏิบัติที่แสดงการจำแนกระดับชั้นความลับ, ขั้นตอนปฏิบัติในการแลกเปลี่ยนข้อมูล, หลักฐานแสดงการถ่ายโอนข้อมูล ตามระดับชั้นความลับ
- การควบคุมการเข้าถึง (Access control) : บริษัทฯมีนโยบายควบคุมการเข้าถึง และจัดทำเป็นเอกสาร รวมทั้งได้รับการพิจารณาทบทวน ตรวจสอบ โดยอยู่บนพื้นฐานข้อกำหนดทางธุรกิจและความต้องการด้านความมั่นคงปลอดภัยสำหรับการเข้าถึง
- การบริหารจัดการด้านเอกลักษณ์ (Identity management) : บริษัทฯมีกระบวนการสำหรับลงทะเบียนและยกเลิกสิทธิผู้ใช้งานอย่างเป็นทางการที่นำมาประยุกต์ใช้งานเพื่อให้สามารถกำหนดสิทธิในการเข้าถึงได้
- ข้อมูลในการพิสูจน์ตัวตน (Authentication information) : บริษัทฯมีการจัดสรรรหัสผ่าน โดยรหัสผ่านจะต้องถูกควบคุมผ่านกระบวนการบริหารจัดการอย่างเป็นทางการ ผู้ใช้งานจะต้องถูกกำหนดให้ปฏิบัติตามวิธีการใช้งานรหัสผ่านขององค์กร โดยมีนโยบายที่ระบุการตั้งค่ารหัสผ่านขององค์กร, การตรวจการตั้งค่ารหัสผ่านของระบบที่สอดคล้องกับนโยบาย
- สิทธิ์การเข้าถึง (Access rights) : บริษัทฯมีกระบวนการจัดการสิทธิการเข้าถึง เพื่อให้มีการกำหนดสิทธิและยกเลิกสิทธิสำหรับผู้ใช้งานทุกประเภท ต่อทุกระบบ และบริการ โดยมีขั้นตอนการลงทะเบียน, ยกเลิก, ผู้ใช้งานระบบ, หลักฐานการขอสิทธิใหม่, หลักฐานการขอยกเลิกสิทธิ และลบสิทธิในระบบแล้วเมื่อพนักงานลาออก, หลักฐานการทบทวนสิทธิ
- ความมั่นคงปลอดภัยสารสนเทศในความสัมพันธ์กับผู้ให้บริการภายนอก (Information security in supplier relationships) : บริษัทฯมีการจัดทำนโยบายด้านความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับการบริหารจัดการผู้ให้บริการภายนอก เพื่อลดความเสี่ยงที่เกี่ยวข้องกับการเข้าถึงทรัพย์สินขององค์กรโดยผู้ให้บริการภายนอก
- การระบุความมั่นคงปลอดภัยสารสนเทศในข้อตกลงของผู้ให้บริการภายนอก (Addressing information security within supplier agreements) : บริษัทฯมีการจัดทำข้อตกลงที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศสำหรับผู้ให้บริการภายนอก ซึ่งต้องเข้าถึง, ประมวลผล, จัดเก็บและสื่อสาร หรือให้บริการด้านโครงสร้างเทคโนโลยีสารสนเทศสำหรับบริษัทฯ โดยมีสัญญาจ้างผู้ให้บริการภายนอก, สัญญาตกลงการไม่เปิดเผยข้อมูล (NDA), ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA)
- การจัดการด้านความมั่นคงปลอดภัยสารสนเทศในห่วงโซ่อุปทานเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) (Managing information security in the information and communication technology (ICT) supply chain) : บริษัทฯมีข้อตกลงกับผู้ให้บริการภายนอก จะต้องรวมถึงข้อกำหนดที่เกี่ยวข้องกับความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ที่มีการว่าจ้างช่วงต่อจากผู้ให้บริการภายนอกซึ่งเป็นคู่สัญญา โดยมี เอกสารในเงื่อนไขสัญญาจ้างผู้ให้บริการภายนอกที่ระบุว่าให้จ้างช่วงหรือไม่
- การติดตาม การทบทวนการและการเปลี่ยนแปลงการจัดการบริการของผู้ให้บริการภายนอก (Monitoring, review and change management of supplier services) : บริษัทฯมีการติดตาม ทบทวนตรวจสอบการให้บริการของผู้ให้บริการภายนอก อย่างสม่ำเสมอ และการเปลี่ยนแปลงซึ่งเงื่อนไขของการให้บริการทั้งหลาย ตลอดจนการเปลี่ยนแปลงใด ในนโยบายความมั่นคงปลอดภัยสารสนเทศ กระบวนการขั้นตอนปฏิบัติที่เกี่ยวข้องกับผู้ให้บริการภายนอก จะต้องได้รับการบริหารจัดการ โดยพิจารณาถึงความจำเป็นของระบบธุรกิจและการดำเนินการที่เกี่ยวข้อง โดยมี สัญญาจ้างงานของผู้ให้บริการภายนอก, เอกสารหลักฐานการติดตามและทบทวนการให้บริการของผู้ให้บริการภายนอก
- การวางแผนและการเตรียมการ การบริหารจัดการเหตุการณ์ด้านความมั่งคงปลอดภัยสารสนเทศ (Information security incident management planning and preparation) : บริษัทฯมีการกำหนดหน้าที่ และกระบวนการปฏิบัติเพื่อให้มั่นใจว่าการตอบสนองต่อเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศจะดำเนินการได้อย่างรวดเร็ว เป็นระบบข้อบังคับ และมีประสิทธิผล : บริษัทฯมีการกำหนดหน้าที่ และกระบวนการปฏิบัติเพื่อให้มั่นใจว่าการตอบสนองต่อเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศจะดำเนินการได้อย่างรวดเร็ว เป็นระบบข้อบังคับ และมีประสิทธิผล โดยมี Incident Management Procedure, หลักฐานการบันทึก Incident
- การประเมินและการตัดสินใจต่อเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ (Assessment and decision on information security events) : บริษัทฯได้กำหนดวิธีการจำแนกระดับความสำคัญของสถานการณ์ความมั่นคงปลอดภัยสารสนเทศ เพื่อใช้ประเมิน และตัดสินใจ เมื่อเกิดเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ โดยมี Incident Management Procedure, หลักฐานการบันทึก Incident
- การตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ (Response to information security incidents) : บริษัทฯมีระบบการป้องกันอุบัติการณ์ความมั่นคงปลอดภัยสารสนเทศจะต้องได้รับการตอบสนองให้สอดคล้องกับเอกสารขั้นตอนปฏิบัติ โดยมี Incident Management Procedure, หลักฐานการบันทึก Incident
- การเรียนรู้จากเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ (Learning from information security incidents) : บริษัทฯมีการวิเคราะห์ และการแก้ไขอุบัติการณ์ความมั่นคงปลอดภัยสารสนเทศ จะต้องถูกนำมาใช้ เพื่อลดโอกาส หรือผลกระทบของอุบัติการณ์ในอนาคต โดยมี Incident Management Procedure, หลักฐานการบันทึก Incident
- การเก็บรวบรวมหลักฐาน (Collection of evidence) : บริษัทฯมีการกำหนด และปรับใช้ขั้นตอนปฏิบัติสำหรับการระบุ รวบรวม จัดหาและเก็บรักษาข้อมูลซึ่งสามารถใช้เป็นหลักฐาน โดยมี Incident Management Procedure
- ความเป็นส่วนตัวและการปกป้องข้อมูลส่วนบุคคล (PII) (Privacy and protection of personal identifiable information (PII)) : บริษัทฯมีการให้ความสำคัญกับข้อมูลเป็นส่วนบุคคล และการปกป้องข้อมูลที่สามารถระบุตัวบุคคลจะต้องมั่นใจว่าเป็นไปตามที่กำหนดในกฎหมายที่เกี่ยวข้องและกฎระเบียบที่ใช้บังคับ โดยมี การประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (ประกาศนโยบายความเป็นส่วนตัว), บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล, รายละเอียดรายการกฎหมายที่ต้องปฏิบัติตาม, หลักฐานการขอ และเก็บเอกสารการขอความยินยอม
- เอกสารขั้นตอนการปฏิบัติงาน (Documented operating procedures) : บริษัทฯมีกระบวนการขั้นตอนการปฏิบัติการจะต้องจัดทำเป็นเอกสารพร้อมทั้งได้รับการปรับปรุง ดูแลรักษาและพร้อมให้กับผู้ใช้งานทั้งหมดที่มีความต้องการใช้งาน โดยมี เอกสารขั้นตอนการปฏิบัติงาน
- การคัดกรอง (Screening) : บริษัทฯมีการตรวจสอบประวัติของผู้สมัครทั้งหมดที่คัดเลือกสำหรับการจ้าง คู่สัญญา และผู้ใช้งานจากหน่วยงานภายนอกจะต้องได้รับการดำเนินการให้เสร็จสมบูรณ์ โดยให้สอดคล้องกับกฎหมาย ข้อบังคับปฏิบัติและจริยธรรม และสอดคล้องกับความต้องการทางธุรกิจ ระดับหมวดหมู่ความสำคัญของข้อมูลที่จะเข้าถึงได้ และการเข้ามารับรู้ความเสี่ยงขององค์กร โดยมี เอกสารตรวจสอบคุณสมบัติของผู้สมัครก่อนการจัดจ้าง
- การสร้างความตระหนัก การให้ความรู้ และการอบรมด้านความมั่นคงปลอดภัย (Information Security Awareness, education and training) : เจ้าหน้าที่ขององค์กรทั้งหมด ตลอดจนผู้เกี่ยวข้อง คู่สัญญาและผู้ใช้งานจากหน่วยงานภายนอกจะต้องได้รับการอบรมเพื่อสร้างความตระหนักที่เหมาะสมและได้รับความรู้เกี่ยวกับนโยบายและกระบวนการปฏิบัติขององค์กรอย่างสม่ำเสมอโดยให้สอดคล้องกับหน้าที่ความรับผิดชอบต่องานที่ได้รับมอบหมาย โดยมี หลักฐานการสร้างความตระหนักด้านความมั่นคงปลอดภัย เช่น การจัดอบรม, อีเมลสื่อสารภายใน, โปสเตอร์ติดบอร์ด เป็นต้น
- ความรับผิดชอบหลังการสิ้นสภาพหรือการเปลี่ยนแปลงการจ้างงาน (Responsibilities after termination or change of employment) : บริษัทฯมีการกำหนดสิทธิหน้าที่ความรับผิดชอบต่อการปฏิบัติของเจ้าหน้าที่ ซึ่งพ้นสภาพหรือเปลี่ยนแปลงการจ้างจะต้องได้รับการกำหนดและมอบหมายให้ชัดเจน โดยมี หลักฐานการแจ้งพนักงานลาออก, หลักฐานการคืนทรัพย์สินพนักงานลาออก, หลักฐานการลบสิทธิของพนักงานลาออก
- ข้อตกลงการรักษาความลับหรือไม่เปิดเผยความลับ (Confidentiality or non-disclosure agreements) : บริษัทฯมีข้อกำหนดสำหรับการรักษาความลับหรือข้อตกลงการไม่เปิดเผยข้อมูล ที่สอดคล้องต่อการป้องกันสารสนเทศขององค์กรนั้นจะต้องระบุในข้อตกลงทบทวนอย่างสม่ำเสมอและเป็นลายลักษณ์อักษร โดยมี เอกสารสัญญาตกลงไม่เปิดเผยข้อมูล
- อาณาเขตความมั่นคงปลอดภัยทางกายภาพ (Physical security perimeter) : บริษัทฯมีความมั่นคงปลอดภัยบริเวณล้อมรอบต้องได้รับการกำหนดและนำมาใช้เพื่อป้องกันพื้นที่ซึ่งมีสารสนเทศที่สำคัญและระบบประมวลผลสารสนเทศอยู่ภายใน
- การควบคุมการเข้า-ออกพื้นที่ (Physical entry) : บริษัทฯมีพื้นที่การปฏิบัติงานในบริษัทฯมีมาตรการความมั่นคงปลอดภัย โดยต้องได้รับการป้องกันโดยการควบคุมการเข้าถึงที่เหมาะสมเพื่อให้มั่นใจได้ว่าจะมีเฉพาะผู้มีสิทธิเท่านั้นที่ได้รับการอนุญาตให้เข้าถึงได้ โดยมีกล้องวงจรปิด 24 ชั่วโมงในการตรวจสอบข้อมูลย้อนหลัง
- ความมั่นคงปลอดภัยสำหรับสำนักงาน ห้องทำงาน และทรัพย์สินอื่นๆ (Securing offices, rooms and facilities)
- การเฝ้าติดตามความมั่นคงปลอดภัยทางกายภาพ (Physical security monitoring)
- การจัดเก็บโต๊ะทำงาน และจัดการหน้าจอคอมพิวเตอร์ (Clear desk and clear screen) บริษัทฯมีนโยบายการจัดการเอกสารโต๊ะ หรือพื้นที่การทำงานให้ปราศจากเอกสารและสื่อบันทึกข้อมูลที่เคลื่อนย้ายได้และนโยบายจัดการหน้าจอสกรีนให้ปราศจากข้อมูลที่แสดงสำหรับระบบประมวลผลข้อมูลสารสนเทศ
- การจัดวางและการป้องกันอุปกรณ์ (Equipment siting and protection) : บริษัทฯมีอุปกรณ์ที่ต้องถูกป้องกันหรือติดตั้งในสถานที่ซึ่งสามารถลดความเสี่ยงจากภัยคุกคามตามสภาพแวดล้อมสิ่งอันตรายและโอกาสการเข้าถึงของผู้ไม่มีสิทธิ
- สื่อบันทึกข้อมูล (Storage media) : บริษัทฯมีกระบวนการปฏิบัติสำหรับใช้ในการบริหารจัดการสื่อที่สามารถพกพาและเคลื่อนย้ายได้ สื่อบันทึกข้อมูลต้องถูกกำจัดด้วยวิธีการที่ปลอดภัยน่าเชื่อถือเมื่อสื่อนั้นไม่มีความจำเป็นต้องใช้งาน โดยอาศัยกระบวนการปฏิบัติที่เป็นทางการ โดยมี ขั้นตอนปฏิบัติสำหรับเคลื่อนย้าย จัดเก็บ หรือทำลายสื่อบันทึกข้อมูล
- ระบบสาธารณูปโภคสนับสนุน (Supporting utilities) : บริษัทฯมีอุปกรณ์จะต้องได้รับการป้องกันโดยเครื่องสนับสนุนเพื่อป้องกันปัญหาระบบไฟฟ้าล้มเหลวและการหยุดชะงักจากเหตุอื่นอันเนื่องมาจากสาเหตุความล้มเหลว
- การบำรุงรักษาอุปกรณ์ (Equipment maintenance) : อุปกรณ์จะต้องได้รับการบำรุงรักษาที่ถูกต้องเพื่อให้มั่นใจว่าอุปกรณ์นั้นจะสามารถทำงานได้อย่างต่อเนื่องและถูกต้องสมบูรณ์ โดยมี สัญญา PM/MA อุปกรณ์, หลักฐานใบ PM/MA อุปกรณ์
- การจำหน่ายหรือนำอุปกรณ์มาใช้ซ้ำอย่างมั่นคงปลอดภัย (Secure disposal or re-use of equipment) : บริษัทฯมีรายการอุปกรณ์ทั้งหมดที่มีอุปกรณ์สื่อสำหรับจัดเก็บข้อมูลจะต้องได้รับการตรวจเช็คเพื่อให้มั่นใจว่าข้อมูลซึ่งมีความละเอียดอ่อนและลิขสิทธิ์ซอฟต์แวร์ทั้งหลายได้ถูกย้ายออกหรือเขียนทับอย่างถูกต้องปลอดภัยก่อนเข้าสู่กระบวนการกำจัดอุปกรณ์ซึ่งไม่ได้ใช้งานแล้ว โดยมี กระบวนการกำจัดอุปกรณ์หรือการนำอุปกรณ์มาใช้งานใหม่
- อุปกรณ์ระดับผู้ใช้งาน (User end point devices) : บริษัทฯมีนโยบายที่เป็นทางการและมาตรการความมั่นคงปลอดภัย จะต้องนำมาปรับใช้ในการป้องกันความเสี่ยงของการใช้งานคอมพิวเตอร์แบบพกพาและอุปกรณ์สื่อสารที่เกี่ยวข้อง
- สิทธิพิเศษในการเข้าถึง (Privileged access rights) : บริษัทฯมีการให้สิทธิการเข้าถึงระดับสูง และการนำไปใช้จะต้องถูกจำกัดและควบคุม ตามขอบเขตหน้าที่ความจำเป็น และความรับผิดชอบในการปฏิบัติงาน
- การจำกัดการเข้าถึงข้อมูล (Information access restriction) : บริษัทฯมีการกำหนดสิทธิการเข้าถึงสารสนเทศและซอฟต์แวร์แอพพลิเคชั่นโดยผู้ใช้งานและผู้ทำหน้าที่สนับสนุนจะต้องถูกจำกัดให้สอดคล้องกับนโยบายควบคุมการเข้าถึงซึ่งได้กำหนดไว้ โดยมี ขั้นตอนปฏิบัติการลงทะเบียนผู้ใช้งานในระบบสารสนเทศในขอบเขต
- การพิสูจน์ตัวตนอย่างมั่นคงปลอดภัย (Secure authentication) : บริษัทฯมีการกำหนดโดยนโยบายการควบคุมการเข้าถึงระบบและแอพพลิเคชั่นจะต้องได้รับการควบคุมโดยขั้นตอนปฏิบัติการล็อกออน (Log on) ที่มั่นคงปลอดภัย
- การบริหารจัดการขีดความสามารถของทรัพยากร (Capacity management) : บริษัทฯมีการดูแลเฝ้าระวัง ปรับแต่ง และวางแผนสำหรับจัดทำเป็นข้อกำหนดเกี่ยวกับความสามารถระบบที่ต้องการในอนาคตเพื่อให้มั่นใจว่าประสิทธิภาพของระบบเป็นไปตามความต้องการ
- การป้องกันจากโปรแกรมไม่พึงประสงค์ (Protection Against malware) : บริษัทฯมีการควบคุมการตรวจจับ การป้องกัน การฟื้นฟูเพื่อเป็นการป้องกันโปรแกรมไม่ประสงค์ดี และกระบวนการสร้างความรู้ความตระหนักที่เหมาะสมให้กับผู้ใช้งานจะต้องนำมาประยุกต์ใช้งานให้เกิดผล โดยมี การติดตั้ง Antivirus (Update Signature, auto update)
- การบริการจัดการช่องโหว่ทางเทคนิค (Management of technical vulnerabilities) : บริษัทฯมีการดำเนินการตรวจสอบทางเทคนิคกับระบบสารสนเทศขององค์กรอย่างสม่ำเสมอ โดยให้สอดคล้องและเป็นไปตามนโยบายและมาตรฐานความมั่นคงปลอดภัยขององค์กร ข้อมูลข่าวสารเกี่ยวกับช่องโหว่ของระบบสารสนเทศในเชิงเทคนิคที่ได้เริ่มใช้งานจะต้องได้รับทราบหรือได้มาในช่วงเวลาที่เหมาะสม
- การป้องกันข้อมูลรั่วไหล (Data leakage prevention) : บริษัทฯมีมาตรการการป้องกันการรั่วไหลของข้อมูล และนำมาประยุกต์ใช้กับระบบ เครือข่าย และอุปกรณ์ต่างๆ ที่มีการ ประมวลผล จัดเก็บ หรือรับส่งข้อมูลสำคัญ
- การสำรองข้อมูล (Information backup) : บริษัทฯมีการสำรองข้อมูลสารสนเทศ ซอฟต์แวร์และสำเนาระบบ ต้องได้รับการดำเนินการและทดสอบอย่างสม่ำเสมอโดยให้สอดคล้องกับนโยบายการสำรองข้อมูล
- การบันทึกกิจกรรม (Logging) : บริษัทฯมีการบันทึกกิจกรรมของผู้ใช้งาน และเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศจะต้องถูกบันทึกอย่างสม่ำเสมอ และข้อมูลบันทึกเหตุการณ์จะต้องได้รับการป้องกันความเสียหายและการเข้าถึงโดยไม่มีสิทธิ รวมทั้งกิจกรรมของของเจ้าหน้าที่และผู้ดูแลระบบ จะต้องได้รับการบันทึกและป้องกัน และสอบทานอย่างสม่ำเสมอ
- การเฝ้าติดตามกิจกรรม (Monitoring activities) : บริษัทฯมีเครือข่าย ระบบ และแอพพลิเคชั่นต้องมีการเฝ้าระวังการทำงานเพื่อตรวจหาพฤติกรรมที่ผิดปกติ และดำเนินการเพื่อประเมินความเป็นไปได้ของเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศที่อาจเกิดขึ้น
- ความมั่นคงปลอดภัยของบริการเครือข่าย (Security of network services) : บริษัทฯมีระบบการบริหารจัดการเครือข่าย โดยจะต้องได้รับการบริหารจัดการและการควบคุมอย่างพอเพียงเพื่อที่จะได้รับการป้องกันภัยคุกคามต่อสารสนเทศและแอพพลิเคชั่น
- ความมั่นคงปลอดภัยของเครือข่าย (Networks security) : บริษัทฯมีกลไกความปลอดภัย ระดับบริการและข้อกำหนดการบริหารจัดการสำหรับบริการเครือข่ายทั้งหมดจะต้องได้รับการระบุ รวมถึงข้อตกลงบริการไม่ว่าจะเป็นบริการจากภายในหรือจากภายนอก
- การแบ่งแยกเครือข่าย (Segregation of networks) : บริษัทฯมีระบบบริการสนับสนุนเครือข่ายสารสนเทศ กลุ่มผู้ใช้งานและกลุ่มระบบสารสนเทศ จะต้องถูกแยกเครือข่ายออกจากกัน
- การบริหารจัดการการเปลี่ยนแปลง (Change management) : บริษัทฯมีขั้นตอนการปฏิบัติสำหรับควบคุมการเปลี่ยนแปลงหรือแก้ไขระบบ และการเปลี่ยนแปลงต่อองค์กร กระบวนการทางธุรกิจ ระบบประมวลผลสารสนเทศและระบบซึ่งกระทบต่อความมั่นคงปลอดภัยสารสนเทศจะต้องได้รับการควบคุม
- การปกป้องระบบสารสนเทศระหว่างการทดสอบในการตรวจประเมิน (Protection of information systems during audit testing) : บริษัทฯมีข้อกำหนดและกิจกรรมในการตรวจสอบที่เกี่ยวข้องกับการตรวจระบบทางด้านธุรกิจจะต้องได้รับ การวางแผนอย่างระมัดระวังและพร้อมกับการจำกัดความเสี่ยงให้ต่ำที่สุดเพื่อไม่ให้เป็นการขัดขวางกระบวนการทางธุรกิจ
6.2 ภายนอกบริษัทฯ
ข้อมูลส่วนบุคคลของท่าน อาจมีการเปิดเผยหรือนำส่งให้กับองค์กรภายนอก ดังนี้ หน่วยงานราชการ หน่วยงานกำกับดูแล หรือหน่วยงานอื่นตามที่กฎหมายกำหนด เช่น กฎหมายคอมพิวเตอร์, กฎหมายคุ้มครองข้อมูลส่วนบุคคล, สำนักงานตำรวจแห่งชาติ เป็นต้น
ข้อ 7. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
7.1 บริษัทฯ อาจส่งหรือโอนข้อมูลส่วนบุคคลของลูกค้า / คู่ค้า / คู่สัญญา / พนักงานส่งเอกสาร / พนักงานรับเอกสาร / ผู้สมัครงาน / พนักงาน / บุคคลภายนอก / ผู้มาติดต่อ / ผู้รับเหมา / ผู้รับว่าจ้าง / วิทยากร / ที่ปรึกษา / ผู้ตรวจสอบ หรือบุคคลอื่น ๆ ที่เข้ามาติดต่อหรือบุคคลอื่น ๆ ที่เข้ามาติดต่อของบริษัทฯ ซึ่งอาจเป็นการกระทำตามสัญญาระหว่างบริษัทฯ กับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของท่านที่เข้ามาติดต่อก่อนเข้าทำสัญญา หรือเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่าน เพื่อปฏิบัติตามกฎหมายหรือเป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
7.2 บริษัทฯ อาจเก็บข้อมูลของบุคคลภายนอก / ผู้มาติดต่อบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชันของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของลูกค้า / คู่ค้า / คู่สัญญา / พนักงานส่งเอกสาร / พนักงานรับเอกสาร / ผู้สมัครงาน / พนักงาน / บุคคลภายนอก / ผู้มาติดต่อ / ผู้รับเหมา / ผู้รับว่าจ้าง / วิทยากร / ที่ปรึกษา / ผู้ตรวจสอบ หรือบุคคลอื่น ๆ ที่เข้ามาติดต่อหรือบุคคลอื่น ๆ ที่เข้ามาติดต่อของบริษัทฯ หรือเป็นการกระทำตามสัญญาระหว่างบริษัทฯ กับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของท่าน หรือเป็นการกระทำตามสัญญาระหว่างบริษัทฯ กับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของท่านที่เข้ามาติดต่อ ทั้งนี้ บริษัทฯจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคลได้ และบริษัทฯจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยด้านข้อมูลส่วนบุคคลที่เหมาะสม
7.3 กรณีที่มีเหตุจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของลูกค้า / คู่ค้า / คู่สัญญา / พนักงานส่งเอกสาร / พนักงานรับเอกสาร / ผู้สมัครงาน / พนักงาน / บุคคลภายนอก / ผู้มาติดต่อ / ผู้รับเหมา / ผู้รับว่าจ้าง / วิทยากร / ที่ปรึกษา / ผู้ตรวจสอบ หรือบุคคลอื่น ๆ ที่เข้ามาติดต่อหรือบุคคลอื่น ๆ ที่เข้ามาติดต่อของบริษัทฯ ไปยังต่างประเทศ บริษัทฯจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและใช้มาตรการที่เหมาะสมเพื่อให้มั่นใจได้ว่าข้อมูลส่วนบุคคลของท่านที่เข้ามาติดต่อ จะได้รับความคุ้มครองและสามารถใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคลได้ตามที่กฎหมายกำหนด รวมถึงบริษัทฯจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้บุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ
ข้อ 8. การเก็บรักษาและระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลของท่าน
บริษัทฯจะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้ตามระยะเวลาที่จำเป็นในระหว่างที่ท่านเป็นลูกค้า / คู่ค้า / คู่สัญญา / พนักงานส่งเอกสาร / พนักงานรับเอกสาร / ผู้สมัครงาน / พนักงาน / บุคคลภายนอก / ผู้มาติดต่อ / ผู้รับเหมา / ผู้รับว่าจ้าง / วิทยากร / ที่ปรึกษา / ผู้ตรวจสอบ หรือบุคคลอื่น ๆ ที่เข้ามาติดต่อหรือบุคคลอื่น ๆ ที่เข้ามาติดต่อของบริษัทฯ ทั้งนี้บริษัทฯอาจจำเป็นต้องเก็บรักษาไว้ต่อไปภายหลังจากนั้นหากมีกฎหมายกำหนดหรืออนุญาตไว้ตามแต่กรณี
8.1 บริษัทฯจะจัดเก็บข้อมูลส่วนบุคคลของท่าน โดยคำนึงถึงความจำเป็นและวัตถุประสงค์ที่บริษัทฯจะต้องเก็บรวบรวม ใช้และประมวลผล ซึ่งรวมถึงการปฏิบัติตามข้อกำหนดของกฎหมายที่ใช้บังคับ
8.2 บริษัทฯจะยังดำเนินการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของท่านต่อไป แม้ว่าท่านจะยุติความสัมพันธ์กับบริษัทฯ เท่าที่จำเป็นตามข้อกำหนดของกฎหมายเพื่อประโยชน์โดยชอบด้วยกฎหมาย หรือทำการเก็บในรูปแบบที่ทำให้ระบุตัวบุคคลไม่ได้ไม่ว่าทางตรงหรือทางอ้อม เช่น “การทำข้อมูลนิรนาม” (Anonymous Data) หรือ “การทำข้อมูลแฝงที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค” (Pseudonymous Data)
8.3 บริษัทฯอาจเก็บข้อมูลส่วนบุคคลของท่านไว้นานเท่าที่จำเป็นต้องเก็บเพื่อการดำเนินการให้บรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของท่านตามที่ระบุไว้ในประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (ประกาศนโยบายความเป็นส่วนตัว) ฉบับนี้ โดยบริษัทฯจะเก็บรักษาข้อมูลส่วนบุคคลของท่าน โดยแบ่งออกเป็นข้อมูลการจัดเก็บ ดังนี้ ระยะเวลาการเก็บข้อมูลส่วนบุคคลของท่าน จำนวน 30 วัน นับแต่ช่วงเวลาที่ได้มีการบันทึก และจะลบอัตโนมัติโดยระบบ โดยบริษัทฯ อาจเก็บรักษาข้อมูลส่วนบุคคลของท่านนานกว่าที่กำหนดหากกฎหมายอื่น ๆ ได้อนุญาต
8.4 เพื่อให้สอดคล้องกับระยะเวลาและอายุความที่เกี่ยวข้อง บริษัทฯ จะดำเนินการจัดเก็บข้อมูลส่วนบุคคลของท่านไว้ในรูปแบบที่เหมาะสมตามประเภทของข้อมูลส่วนบุคคล อย่างไรก็ตาม บริษัทฯ มีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลของท่านต่อไปแม้จะพ้นอายุความตามกฎหมายแล้ว ทั้งนี้ เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของท่าน
8.5 บริษัทฯ จะดำเนินการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล ทำให้ไม่สามารถระบุชื่อเจ้าของข้อมูลส่วนบุคคลได้เป็นการถาวร หรือโดยประการอื่นเพื่อจำกัดข้อมูลส่วนบุคคลทั้งหมดเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้อง หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือเมื่อบริษัทฯ ต้องปฏิบัติตามคำขอของท่านให้บริษัทฯ ทำการลบข้อมูลส่วนบุคคลของท่าน ทั้งนี้ บริษัทฯจะลบหรือทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุถึงตัวตนของท่านได้ เมื่อหมดความจำเป็นหรือสิ้นสุดระยะเวลาดังกล่าว
ข้อ 9. บริษัทฯคุ้มครองข้อมูลส่วนบุคคลของท่านอย่างไรให้ปลอดภัย
บริษัทฯจะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เป็นอย่างดีตามมาตรการเชิงเทคนิค (Technical Measure), มาตรการเชิงกายภาพ (Physical Measure) และมาตรการเชิงบริหารจัดการ (Organizational Measure) เพื่อรักษาความปลอดภัยในการประมวลผลข้อมูลส่วนบุคคลที่เหมาะสม และเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล โดยบริษัทฯได้กำหนดนโยบาย ระเบียบ และหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงมาตรการเพื่อป้องกันไม่ให้ผู้รับข้อมูลไปจากบริษัทฯใช้ หรือเปิดเผยข้อมูลนอกวัตถุประสงค์ หรือโดยไม่มีอำนาจหรือโดยมิชอบ และบริษัทฯได้มีการปรับปรุงนโยบาย ระเบียบและหลักเกณฑ์ดังกล่าวเป็นระยะตามความจำเป็น และเหมาะสม โดยบริษัทฯ มีนโยบายในการใช้ข้อมูลภายในบริษัทฯ ดังนี้
- เอกสาร (ข้อมูล) ที่เป็นกระดาษ (หนังสือ, เอกสาร) ถูกจัดเก็บเข้าแฟ้มเอกสารด้วยความปลอดภัย และตู้เอกสารที่มีกุญแจล้อค และกำหนดผู้ถือครองกุญแจอย่างชัดเจน โดยต้องขออนุมัติผู้มีอำนาจในการเข้าถึงเอกสารดังกล่าว
- เอกสาร (ข้อมูล) ที่เป็นอิเล็กทรอนิกส์ ถูกจัดเก็บเข้าห้อง Server, มีตู้ Server ที่ล้อคกุญแจ และกำหนดสิทธิผู้ถือครองกุญแจอย่างชัดเจน, มีการกำหนดสิทธิการเข้าถึงของผู้ใช้งานภายในระบบอิเล็กทรอนิกส์ (เข้าถึงได้เฉพาะบุคคลที่เกี่ยวข้อง), มีการเก็บข้อมูลการเข้าถึงย้อนหลัง รวมถึงการ Back up ข้อมูล (สำรองข้อมูล) อย่างสม่ำเสมอ, มี Firewall (ซอฟท์แวร์ป้องกันระบบเครือข่าย), มี Anti Virus (ซอฟท์แวร์ป้องกันข้อมูล)
- ในด้านการป้องกันข้อมูล ทางบริษัทฯ จะมีการสำรองข้อมูล เพื่อให้ข้อมูลดังกล่าวนั้นมีความพร้อมใช้, มีข้อมูลที่มีความถูกต้อง เป็นปัจจุบันอย่างสม่ำเสมอ
ข้อ 10. สิทธิของเจ้าของข้อมูล
10.1 ท่านมีสิทธิในการดำเนินการ ดังต่อไปนี้
(1) สิทธิในการเพิกถอนความยินยอม
หากท่านได้ให้ความยินยอมให้บริษัทฯเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน (ไม่ว่าจะเป็นความยินยอมที่ท่านให้ไว้ก่อนวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับหรือหลังจากนั้น) ท่านมีสิทธิที่จะถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของท่านอยู่กับบริษัทฯ เว้นแต่มีข้อจำกัดสิทธินั้นโดยกฎหมายหรือมีสัญญาที่ให้ประโยชน์แก่ท่านอยู่
ทั้งนี้ การถอนความยินยอมของท่านอาจส่งผลกระทบต่อการพิจารณางาน สิทธิประโยชน์ต่าง ๆ ที่ท่านพึงได้รับจากบริษัทฯ หรือไม่ได้รับข้อมูลข่าวสารอันเป็นประโยชน์แก่ท่าน เป็นต้น เพื่อประโยชน์ของท่าน จึงควรศึกษาและสอบถามถึงผลกระทบก่อนเพิกถอนความยินยอม ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อ
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กำหนดไว้
(2) สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
ท่านมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของท่าน และขอให้บริษัทฯทำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้กับท่าน รวมถึงขอให้บริษัทฯเปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของบริษัทฯ ทั้งนี้ บริษัทฯอาจปฏิเสธคำขอของท่านหากการเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบต่อสิทธิ และเสรีภาพของบุคคลอื่น หรือบริษัทฯต้องปฏิบัติตามกฎหมาย หรือคำสั่งศาลที่ห้ามเปิดเผยข้อมูลส่วนบุคคลนั้น
(3) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล
ท่านมีสิทธิขอรับข้อมูลส่วนบุคคลของท่านในกรณีที่บริษัทฯได้จัดทำข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบให้สามารถอ่านหรือใช้งานได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิขอให้บริษัทฯส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และมีสิทธิขอรับข้อมูลส่วนบุคคลที่บริษัทฯส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่ไม่สามารถดำเนินการได้เพราะเหตุทางเทคนิค
ทั้งนี้ ข้อมูลส่วนบุคคลของท่านข้างต้นต้องเป็นข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมแก่บริษัทฯในการเก็บรวบรวม ใช้ และ/หรือเปิดเผย หรือเป็นข้อมูลส่วนบุคคลที่บริษัทฯจำเป็นต้องเก็บรวบรวม ใช้ และ/หรือเปิดเผยเพื่อให้ท่านสามารถใช้ผลิตภัณฑ์และ/หรือบริการของบริษัทฯได้ตามความประสงค์ซึ่งท่านเป็นคู่สัญญาอยู่กับบริษัทฯ หรือเป็นข้อมูลส่วนบุคคลอื่นตามที่ผู้มีอำนาจตามกฎหมายกำหนด
(4) สิทธิในการคัดค้านการประมวลผลข้อมูล
ท่านมีสิทธิในการคัดค้านการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านในเวลาใดก็ได้ หากการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านที่ทำขึ้นเพื่อการดำเนินงานที่จำเป็นภายใต้ประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ หรือของบุคคลหรือนิติบุคคลอื่น โดยไม่เกินขอบเขตที่ท่านสามารถคาดหมายได้อย่างสมเหตุสมผล หรือเพื่อดำเนินการตามภารกิจเพื่อสาธารณประโยชน์ หากท่านยื่นคัดค้าน บริษัทฯจะยังคงดำเนินการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านต่อไปเฉพาะที่บริษัทฯสามารถแสดงเหตุผลตามกฎหมายได้ว่ามีความสำคัญยิ่งกว่าสิทธิขั้นพื้นฐานของท่าน หรือเป็นไปเพื่อการยืนยันสิทธิตามกฎหมาย การปฏิบัติตามกฎหมาย หรือการต่อสู้ในการฟ้องร้องตามกฎหมาย ตามแต่ละกรณี
นอกจากนี้ ท่านยังมีสิทธิขอคัดค้านการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านที่ทำขึ้นเพื่อวัตถุประสงค์เกี่ยวกับการตลาด หรือเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติได้อีกด้วย
(5) สิทธิในการขอให้ลบข้อมูลส่วนบุคคล
ท่านมีสิทธิขอลบหรือทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ หากท่านเชื่อว่าข้อมูลส่วนบุคคลของท่านถูกเก็บรวบรวม ใช้ และ/หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายที่เกี่ยวข้อง หรือเห็นว่าบริษัทฯหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่เกี่ยวข้องในประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (ประกาศนโยบายความเป็นส่วนตัว) ฉบับนี้ หรือเมื่อท่านได้ใช้สิทธิขอถอนความยินยอมหรือใช้สิทธิขอคัดค้านตามที่แจ้งไว้ข้างต้นแล้ว เว้นแต่เป็นกรณีที่บริษัทฯต้องปฏิบัติตามกฎหมาย หรือใช้สิทธิเรียกร้องตามกฎหมายที่เกี่ยวข้องในการเก็บรักษาข้อมูลดังกล่าว
(6) สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล
ท่านมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลชั่วคราวในกรณีที่บริษัทฯอยู่ระหว่างตรวจสอบตามคำร้องขอใช้สิทธิขอแก้ไขข้อมูลส่วนบุคคลหรือขอคัดค้านของท่าน หรือกรณีอื่นใดที่บริษัทฯหมดความจำเป็นและต้องลบหรือทำลายข้อมูลส่วนบุคคลของท่านตามกฎหมายที่เกี่ยวข้องแต่ท่านขอให้บริษัทฯระงับการใช้แทน
(7) สิทธิในการแก้ไขข้อมูลส่วนบุคคล
ท่านมีสิทธิในการขอให้บริษัทฯแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
(8) สิทธิร้องเรียน
ท่านมีสิทธิร้องเรียนต่อผู้มีอำนาจตามกฎหมายที่เกี่ยวข้อง หากท่านเชื่อว่าการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านเป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายที่เกี่ยวข้อง
หากท่านมีความกังวลหรือมีข้อสงสัยเกี่ยวกับแนวทางการปฏิบัติของบริษัทฯ เกี่ยวกับข้อมูลส่วนบุคคลของท่าน โปรดติดต่อบริษัทฯ โดยใช้รายละเอียดการติดต่อตามข้อ 12. ของประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (ประกาศนโยบายความเป็นส่วนตัว) สำหรับฉบับนี้ ทั้งนี้ ในกรณีที่มีเหตุอันควรเชื่อได้ว่าบริษัทฯ ได้ทำการฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ท่านมีสิทธิยื่นข้อร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามระเบียบและวิธีการตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลยื่นคำร้องขอใช้สิทธิภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล เมื่อบริษัทฯได้รับคำร้องขอดังกล่าวแล้ว จะดำเนินการภายในระยะเวลาที่กฎหมายกำหนด อนึ่ง บริษัทฯขอสงวนสิทธิที่จะปฏิเสธหรือไม่ดำเนินการตามคำร้องขอดังกล่าวในกรณีที่กฎหมายกำหนด
10.2 บริษัทฯมีสิทธิทั้งปวงและดุลพินิจแต่เพียงผู้เดียวในการตอบรับเพื่อดำเนินการตามคำร้องขอหรือปฏิเสธคำขอของท่าน
การใช้สิทธิของท่านตามข้อ 10.1 อาจถูกจำกัดภายใต้กฎหมายที่เกี่ยวข้อง และมีบางกรณีที่มีเหตุจำเป็นที่บริษัทฯอาจปฏิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิข้างต้นของท่านได้ เช่น ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล เพื่อประโยชน์สาธารณะ การใช้สิทธิอาจละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น เป็นต้น หากบริษัทฯปฏิเสธคำขอข้างต้น บริษัทฯจะแจ้งเหตุผลของการปฏิเสธให้ท่านทราบด้วย
ข้อ 11. การเปลี่ยนแปลงประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (ประกาศนโยบายความเป็นส่วนตัว)สำหรับลูกค้า / คู่ค้า / คู่สัญญา / พนักงานส่งเอกสาร / พนักงานรับเอกสาร / ผู้สมัครงาน / พนักงาน / บุคคลภายนอก / ผู้มาติดต่อ / ผู้รับเหมา / ผู้รับว่าจ้าง / วิทยากร / ที่ปรึกษา / ผู้ตรวจสอบ หรือบุคคลอื่น ๆ ที่เข้ามาติดต่อหรือบุคคลอื่น ๆ ที่เข้ามาติดต่อของบริษัทฯ
บริษัทฯจะทำการพิจารณาทบทวนประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (ประกาศนโยบายความเป็นส่วนตัว) สำหรับลูกค้า / คู่ค้า / คู่สัญญา / พนักงานส่งเอกสาร / พนักงานรับเอกสาร / ผู้สมัครงาน / พนักงาน / บุคคลภายนอก / ผู้มาติดต่อ / ผู้รับเหมา / ผู้รับว่าจ้าง / วิทยากร / ที่ปรึกษา / ผู้ตรวจสอบ หรือบุคคลอื่น ๆ ที่เข้ามาติดต่อหรือบุคคลอื่น ๆ ที่เข้ามาติดต่อของบริษัทฯ เป็นประจำเพื่อให้สอดคล้องกับแนวทางปฏิบัติ และกฎหมาย ข้อบังคับที่เกี่ยวข้อง หากมีการเปลี่ยนแปลงประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (ประกาศนโยบายความเป็นส่วนตัว) สำหรับลูกค้า / คู่ค้า / คู่สัญญา / พนักงานส่งเอกสาร / พนักงานรับเอกสาร / ผู้สมัครงาน / พนักงาน / บุคคลภายนอก / ผู้มาติดต่อ / ผู้รับเหมา / ผู้รับว่าจ้าง / วิทยากร / ที่ปรึกษา / ผู้ตรวจสอบ หรือบุคคลอื่น ๆ ที่เข้ามาติดต่อหรือบุคคลอื่น ๆ ที่เข้ามาติดต่อของบริษัทฯ บริษัทฯจะแจ้งให้ท่านทราบถึงการแก้ไขเปลี่ยนแปลงประกาศความเป็นส่วนตัวที่สำคัญใด ๆ พร้อมกับประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (ประกาศนโยบายความเป็นส่วนตัว) ฉบับปรับปรุง ผ่านช่องทางที่เหมาะสม ทั้งนี้ บริษัทฯขอแนะนำให้ท่านตรวจสอบการเปลี่ยนแปลงประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (ประกาศนโยบายความเป็นส่วนตัว) ฉบับนี้เป็นระยะ ๆ
ข้อ 12. ช่องทางการติดต่อ
หากท่านเห็นว่าการประมวลผลข้อมูลส่วนบุคคลของท่านไม่เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ท่านมีสิทธิที่จะร้องเรียนไปยังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
รายละเอียดของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
ข้อมูล บริษัท เฟดเดอรัล เทรเวิล อินเตอร์เนชั่นแนล จำกัด
เลขที่ 103/1 ซอยสุขุมวิท 55 ถนนสุขุมวิท แขวงคลองตันเหนือ เขตวัฒนา กรุงเทพมหานคร 10110
หมายเลขติดต่อ +66 (0) 2652-6017
อีเมล dpo@federal.co.th
ข้อ 13. กฎหมายที่ใช้บังคับ
ท่านรับทราบและตกลงให้ประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (ประกาศนโยบายความเป็นส่วนตัว) นี้ อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาข้อพิพาทใดที่อาจเกิดขึ้น
ประกาศใช้ ณ วันที่ 10 เดือน เมษายน พ.ศ. 2568
ปรับปรุงล่าสุดวันที่ 01 เดือน กรกฎาคม พ.ศ. 2568
Location