นโยบายคุ้มครองข้อมูลส่วนบุคคล
(Personal Data Protection Policy)
บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด (“บริษัท”) ตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคล ของผู้ถือหุ้น คู่ค้า กรรมการ บุคลากรของบริษัท และบุคคลที่มีความเกี่ยวข้องกับบริษัท เพื่อให้เกิดความมั่นใจว่า บุคคลดังกล่าวจะได้รับความคุ้มครองสิทธิอย่างครบถ้วนตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่นที่เกี่ยวข้อง คณะกรรมการบริษัทได้อนุมัตินโยบายคุ้มครองข้อมูลส่วนบุคคล โดยให้เป็นส่วนหนึ่ง ของคู่มือการกำกับดูแลกิจการที่ดีของบริษัท เพื่อให้บริษัทมีหลักเกณฑ์ มาตรการกำกับดูแล และการบริหารจัดการ ข้อมูลส่วนบุคคลตั้งแต่การเก็บรวบรวบ นำ ไปใช้เปิดเผย รวมถึงการเก็บรักษาข้อมูลส่วนบุคคลให้มีความมั่นคง ปลอดภัย โดยมีสาระสำคัญ ดังต่อไปนี้
1. ขอบเขตการบังคับใช้
นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ใช้บังคับกับบริษัท บุคลากรของบริษัท และบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของบริษัท
2. คำนิยาม
“บริษัท” หมายถึง บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด
“การประมวลผล (Processing)” หมายถึง การดำเนินการใดๆ กับข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม บันทึก จัดทำระบบ ทำโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน นำไปใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วย ลบ ทำลาย
“ข้อมูลส่วนบุคคล (Personal Data)” หมายถึง ข้อมูลที่เกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม
“เจ้าของข้อมูลส่วนบุคคล (Data Subject)” หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม
“ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับประมวลผลข้อมูลส่วนบุคคล
“ผู้ประมวลข้อมูลส่วนบุคคล (Data Processor)” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Officer)” หมายถึง บุคคลธรรมดาหรือคณะบุคคลซึ่งบริษัทแต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
3. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการกํากับดูแลการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Governance)
3.1. บริษัทจัดให้มีโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล โดยกำหนดวิธีการและมาตรการที่เหมาะสมในการปฏิบัติตามกฎหมาย ดังนี้
- กําหนดบทบาท ภารกิจ และความรับผิดชอบของหน่วยงานและผู้ปฏิบัติงานที่เกี่ยวข้องให้ชัดเจน เพื่อสร้างกลไกการกํากับดูแลการประมวลผลข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท (Data Protection Officer: DPO) โดยมีบทบาทและหน้าที่ตามที่กฎหมายกําหนด
3.2. บริษัทจัดทำนโยบายและแนวปฏิบัติ รวมถึงเอกสารที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องตามที่กฎหมายกำหนด
3.3. บริษัทจัดให้มีกระบวนการบริหารจัดการในการปฏิบัติตามนโยบาย เพื่อควบคุมดูแลให้มีการปฏิบัติ ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท
3.4. บริษัทจะดําเนินการฝึกอบรมบุคลากรของบริษัท เพื่อให้ทุกคนมีความรู้ ความเข้าใจ และตระหนักถึงความสําคัญของการคุ้มครองข้อมูลส่วนบุคคล
4. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)
4.1. บริษัทจะประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลเท่าที่จําเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส โดยบริษัทจะดําเนินการรักษาความลับ ความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ
4.2. บริษัทจะจัดทําบันทึกการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities: ROPA) สําหรับบันทึกรายการและกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
4.3. บริษัทจะจัดให้มีแบบแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Notice) สำหรับกรรมการ ผู้บริหาร ผู้ถือหุ้น คู่ค้า บุคลากรของบริษัท และบุคคลที่มีความเกี่ยวข้องกับบริษัท แบบให้ความยินยอม (Consent Form) และเอกสารอื่นๆตามที่กฏหมายกำหนด
4.4. กรณีที่บริษัทส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล บริษัทจะจัดทําข้อตกลงกับผู้ที่รับหรือใช้ข้อมูลส่วนบุคคลนั้น เพื่อกําหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมาย
4.5. กรณีที่บริษัทต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะปฏิบัติให้สอดคล้องกับกฎหมาย
4.6. บริษัทจัดให้มีระบบการตรวจสอบ เพื่อดำเนินการลบ หรือทําลายข้อมูลส่วนบุคคลเมื่อพ้นกําหนดระยะเวลาการเก็บรักษา
4.7. บริษัทจะประเมินความเสี่ยงและจัดทํามาตรการเพื่อบรรเทาความเสี่ยงและลดผลกระทบที่จะเกิดขึ้นกับการประมวลผลข้อมูลส่วนบุคคล
5. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights)
บริษัทจะจัดให้มีมาตรการ ช่องทาง และวิธีการ เพื่อรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลและตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลภายในระยะเวลาที่กฎหมายกำหนด
6. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security)
6.1. บริษัทจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีประสิทธิภาพ เพียงพอ เหมาะสม และเป็นไปตามที่กฎหมายกำหนด เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของบริษัทโดยมิชอบ รวมทั้งจัดให้มีการทบทวนและตรวจสอบมาตรการดังกล่าวอย่างสม่ำเสมอ
6.2. ทุกหน่วยงานในบริษัทต้องให้ความร่วมมือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หากมีเหตุการณ์ละเมิดข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องแจ้งเหตุนั้นต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง นับแต่ทราบเหตุ หากการละเมิดนั้นเป็นการละเมิดที่มีความเสี่ยงสูงซึ่งมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะแจ้งเหตุนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ
7. บทบาท หน้าที่ และความรับผิดชอบ
คณะกรรมการบริษัท
มีหน้าที่กํากับดูแลและสนับสนุนให้บริษัทดําเนินการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ และสอดคล้องกับกฎหมาย
กรรมการผู้อำนวยการ
มีหน้าที่ติดตาม ควบคุมให้ทุกหน่วยงานที่ดูแลปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท และส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้นกับพนักงานของบริษัท
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
มีหน้าที่ให้คำแนะนำ คำปรึกษา และตรวจสอบการดำเนินงานที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของบริษัทให้เป็นไปตามกฎหมายกำหนด รวมถึงทำหน้าที่ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
พนักงานของบริษัท
มีหน้าที่ปฏิบัติหน้าที่ให้สอดคล้องกับนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท และรายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ผู้บังคับบัญชาทราบ
8. การทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล
บริษัทจะจัดให้มีการทบทวนและปรับปรุงหรือแก้ไขนโยบายฉบับนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับข้อกฏหมายการเปลี่ยนแปลงการดำเนินงานของบริษัท รวมถึงข้อเสนอแนะต่างๆที่บริษัทพิจารณาแล้วเห็นว่าเหมาะสม และเป็นประโยชน์ต่อทุกฝ่าย โดยบริษัทจะประกาศให้ทราบผ่านทางเว็บไซต์ของทางบริษัท www.cu.co.th
9. บทลงโทษ
การไม่ปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท อาจมีความผิดและถูกลงโทษทางวินัย รวมทั้งอาจได้รับโทษตามที่กฎหมายกําหนด
10. ช่องทางการติดต่อบริษัทฯ
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
อีเมล์ dpo@cu.co.th
บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด
1828 ถนนสุขุมวิท แขวงพระโขนงใต้ เขตพระโขนง กรุงเทพฯ 10260
นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ใช้บังคับกับบุคลากรทุกระดับของบริษัท รวมถึงกรรมการและผู้บริหารของบริษัท โดยทุกคนต้องเข้าใจและปฏิบัติตามนโยบายฉบับนี้ รวมทั้งให้ความร่วมมือและสนับสนุนให้เกิดการปฏิบัติอย่างจริงจังทั่วทั้งองค์กร โดยมีรายละเอียดแบบแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) สำหรับกรรมการ ผู้บริหาร ผู้ถือหุ้น คู่ค้า บุคลากรของบริษัท และบุคคลที่มีความเกี่ยวข้องกับบริษัท แบบให้ความยินยอม (Personal Data Protection Consent Form) และเอกสารอื่น ๆ แนบท้ายประกาศนี้
ประกาศ ณ วันที่ 26 พฤษภาคม 2565