นโยบายการคุ้มครองข้อมูลส่วนบุคคล

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

บริษัท เจม เอ็นไวรันเมนทัล แมเนจเม้นท์ จำกัด

          ด้วยความเคารพต่อสิทธิความเป็นส่วนตัวของพนักงาน คู่ค้า ผู้ถือหุ้น ลูกค้า และบุคคลที่เกี่ยวข้องกับ บริษัท เจม เอ็นไวรันเมนทัล แมเนจเม้นท์ จำกัด (“บริษัท”) โดยคณะผู้บริหารของบริษัทได้ตระหนักถึงความสำคัญของการคุ้มครองสิทธิความเป็นส่วนตัวของบุคคลดังกล่าว จึงได้อนุมัติให้ใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท ซึ่งกำหนดหลักเกณฑ์ กลไก และมาตรการบริหารจัดการของบริษัทให้ครอบคลุม ชัดเจน และสอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ เพื่อสร้างความมั่นใจแก่เจ้าของข้อมูลส่วนบุคคล

          นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ใช้บังคับกับบริษัท พนักงานของบริษัท และบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของบริษัท

1. คำนิยาม

1.1 การประมวลผล (Processing)

หมายถึง การดําเนินการใดๆ กับข้อมูลส่วนบุคคล เช่น การเก็บ รวบรวม บันทึก จัดระบบ ทําโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน ใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทําลาย

1.2 ข้อมูลส่วนบุคคล (Personal Data)

หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ IP Address รูปภาพ เป็นต้น

1.3 ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data)

หมายถึง ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

1.4 เจ้าของข้อมูลส่วนบุคคล  (Data Subject)

หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุ ตัวตนของบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม

1.5 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

1.6 ผู้ประมวลผลข้อมูลส่วนบุคคล  (Data Processor)

หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

2. การกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Governance)

2.1 บริษัทจะดำเนินการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (“DPO”) ให้มีอำนาจและหน้าที่ในการกำกับ ควบคุม และบริหารจัดการข้อมูลส่วนบุคคลให้สอดคล้องเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

2.2 บริษัทจะจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลภายในของบริษัท

2.3 บริษัทจะบริหารการปฏิบัติตามนโยบายเพื่อควบคุมดูแลให้มีการปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลภายในของบริษัทอย่างต่อเนื่อง และมีการทบทวนตามรอบระยะเวลาที่เหมาะสม

2.4 บริษัทจะดำเนินการฝึกอบรมแก่พนักงาน เพื่อสร้างความตระหนักรู้ถึงความสำคัญของการคุ้มครองความเป็นส่วนตัวของบุคคลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เพื่อให้พนักงานของบริษัทมีความรู้ ความเข้าใจที่ถูกต้องเกี่ยวกับการปฏิบัติตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท

3. การประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)

3.1 บริษัทจะดำเนินการประมวลผลข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย โปร่งใส เป็นธรรม และคำนึงถึงสิทธิความเป็นส่วนตัวของบุคคล ทั้งนี้ ทั้งในฐานะที่บริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล

3.2 บริษัทจะกำหนดขอบเขต วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล และระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล ให้กระทำเพียงเท่าที่จำเป็นภายใต้วัตถุประสงค์ที่ชอบด้วยกฎหมาย

3.3 บริษัทจะดำเนินการรักษาความลับ ความครบถ้วน ความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมเพียงพอ

3.4 บริษัทจะจัดให้มีกระบวนการควบคุมและกำกับการบริหารจัดการข้อมูลส่วนบุคคลในทุกขั้นตอนให้สอดคล้องกับกฎหมาย และนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท

3.5 บริษัทจะจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities: RoPA) เพื่อบันทึกรายละเอียดเกี่ยวกับรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล และดำเนินการแก้ไข ปรับปรุงบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลให้เป็นปัจจุบันอยู่เสมอ

3.6 บริษัทจะจัดให้มีกระบวนการแจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices) ที่ครบถ้วน อ่านเข้าใจง่าย ชัดเจน ให้แก่เจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม

3.7 บริษัทจะดำเนินการตรวจสอบความถูกต้องและเป็นปัจจุบันของข้อมูลส่วนบุคคล รวมถึงจัดให้มีช่องทางในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง

3.8 กรณีที่บริษัทมีการเปิดเผย ส่ง โอน รวมถึงได้รับโอนข้อมูลส่วนบุคคลไปยังหรือมาจากหน่วยงานภายนอก บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล จะจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคลเพื่อกำหนดสิทธิ หน้าที่ และความรับผิดให้สอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และกฎหมายอื่นที่เกี่ยวข้อง

3.9 กรณีที่บริษัทมีการเปิดเผย ส่ง หรือโอนข้อมูลไปยังต่างประเทศ บริษัทจะทำการตรวจสอบและประเมินมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทางเสมอ เพื่อให้การปฏิบัติเป็นไปตามเงื่อนไขที่กฎหมายบัญญัติไว้

3.10 บริษัทจะทำการประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล และจัดหามาตรการที่เหมาะสมเพื่อลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น

3.11 บริษัทจะกำหนดนโยบายในการลบและทำลายข้อมูลส่วนบุคคลที่เหมาะสม

4. การจัดให้มีช่องทางการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Access Request)

4.1 บริษัทจะจัดให้มีแนวปฏิบัติ และช่องทางในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม ครบถ้วนตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

4.2 บริษัทจะทำการบันทึกรายละเอียดคำขอใช้สิทธิ รวมถึงเหตุแห่งการปฏิเสธคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลเสมอ

5. การรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security)

5.1 บริษัทจะจัดให้มีมาตรการในการรักษาความปลอดภัยของข้อมูลที่เหมาะสม เพียงพอ และมีการควบคุมการเข้าถึงข้อมูลเท่าที่จำเป็น

5.2 บริษัทจะจัดให้มีมาตรการรองรับเหตุการณ์ผิดปกติ แนวทางในการตอบสนองต่อเหตุการณ์ดังกล่าว รวมถึงจัดให้มีกระบวนการแจ้ง ประสานงาน และให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สามารถจัดการและแก้ไขเยียวยาได้อย่างทันท่วงที

6. การกำกับดูแล และตรวจสอบการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ระเบียบ และนโยบายที่เกี่ยวข้อง (Personal Data Protection Compliance)

6.1 บริษัทจะทำการทบทวน แก้ไข และปรับปรุงนโยบายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงเอกสารที่เกี่ยวข้องอยู่เป็นประจำ อย่างน้อยปีละ 1 ครั้ง เพื่อให้สอดคล้องเป็นไปตามกฎหมายอยู่เสมอ

6.2 บริษัทจะติดตามการบังคับใช้กฎหมายลำดับรอง และกฎหมายอื่นที่เกี่ยวข้องอยู่เสมอ เพื่อนำมาแก้ไขและปรับปรุงนโยบายของบริษัทให้สอดคล้องเป็นไปตามกฎหมาย

7. บทบาท หน้าที่ และความรับผิดชอบ

7.1 คณะกรรมการบริษัท มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้

7.1.1 กํากับให้เกิดโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล และการควบคุมภายในที่เกี่ยวข้องของบริษัทเพื่อให้เกิดการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
7.1.2 กํากับดูแลและสนับสนุนให้บริษัทดําเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ และสอดคล้องกับกฎหมาย

7.2 คณะทำงานเฉพาะกิจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยมีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้

7.2.1 จัดให้มีโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคลและการควบคุมภายในที่เกี่ยวข้อง รวมถึง นโยบายการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (Privacy Incident Management Policy) และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ (Incident Response Program) เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้อง กับข้อมูลส่วนบุคคลได้อย่างทันท่วงที

7.2.2 ประเมินประสิทธิภาพการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท และรายงานผลการประเมินดังกล่าวให้คณะกรรมการบริษัททราบเป็นประจําอย่างน้อย 1 ครั้งต่อปี รวมถึงควบคุมดูแลให้มั่นใจได้ว่าความเสี่ยงต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้รับ การจัดการและมีแนวทางการบริหารความเสี่ยงที่เหมาะสม

7.2.3 กําหนดและทบทวนมาตรฐานการปฏิบัติงาน (Standards) และแนวปฏิบัติ (Guidelines) เพื่อให้การดําเนินงานของบริษัทสอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

7.2.4 แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท (DPO)

7.3 ผู้บริหาร มีบทบาท หน้าที่ และความรับผิดชอบในการติดตามควบคุมให้หน่วยงานที่ดูแลปฏิบัติตาม นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท และส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้นกับพนักงานของบริษัท

7.4 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท (DPO) มีบทบาท หน้าที่ และความรับผิดชอบ ตามที่กฎหมายกําหนด ซึ่งรวมถึงหน้าที่ดังต่อไปนี้

7.4.1 รายงานสถานะการคุ้มครองข้อมูลส่วนบุคคลให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ อย่างสมํ่าเสมอ และจัดทําข้อเสนอแนะเพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของบริษัท ให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ

7.4.2 ให้คําแนะนําพนักงานของบริษัทเกี่ยวกับการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครอง ข้อมูลส่วนบุคคลของบริษัท

7.4.3 ตรวจสอบการดําเนินงานของหน่วยงานในบริษัทให้เป็นไปตามกฎหมาย และนโยบายการ คุ้มครองข้อมูลส่วนบุคคลของบริษัท

7.5    พนักงานของบริษัทมีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้

7.5.1 ปฏิบัติให้สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท มาตรฐานการ ปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และ เอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

7.5.2 รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตาม กฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ผู้รับผิดชอบทราบ

8. บทลงโทษกรณีไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

     คณะกรรมการบริษัทเป็นผู้มีอำนาจในการพิจารณาและดำเนินการลงโทษทางวินัยแก่ผู้ที่ฝ่าฝืนหรือไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และ/หรือกฎระเบียบอื่นที่เกี่ยวข้อง โดยบริษัทกำหนดโทษทางวินัยไว้ 4 ประการ ดังนี้

8.1 การตักเตือนด้วยวาจา
8.2 การตักเตือนเป็นหนังสือ
8.3 การพักงานโดยไม่จ่ายค่าจ้าง
8.4 การเลิกจ้างโดยไม่จ่ายค่าชดเชย

     นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ได้ผ่านมติที่ประชุมคณะกรรมการครั้งที่ 2/2565 และได้ประกาศให้พนักงานของบริษัทรับทราบแล้วโดยทั่วกันและนำไปปฏิบัติแล้วตั้งแต่วันที่ 30 พฤษภาคม 2565 เป็นต้นไป

ท่านสามารถใช้สิทธิตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดย คลิกที่นี่ หรือติดต่อผู้ควบคุมข้อมูลส่วนบุคคลที่ dpo@gem-env.co.th