นโยบายคุ้มครองข้อมูลส่วนบุคคล
บริษัท บี.กริม จอยน์ เว็นเจอร์ โฮลดิ้ง จำกัด และบริษัทย่อย
- บทนำ
บริษัท บี.กริม จอยน์ เว็นเจอร์ โฮลดิ้ง จำกัด และบริษัทย่อย (ต่อไปนี้จะรวมเรียกว่า “บี.กริม”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการเคารพสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล และเพื่อให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลได้รับความคุ้มครองตามที่กฎหมายกำหนด และเป็นไปเพื่อวัตถุประสงค์ในการดำเนินกิจการของบริษัท บี.กริม จึงได้กำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้นตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (ตามที่แก้ไขเพิ่มเติม) และกฎหมาย และกฎระเบียบที่ใช้บังคับอื่นๆ (“พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ”)
- ขอบเขต
เพื่อให้เจ้าของข้อมูลส่วนบุคคลได้รับทราบถึงนโยบายคุ้มครองข้อมูลส่วนบุคคล นโยบายฉบับนี้จึงได้กำหนดแนวปฏิบัติเพื่อคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย และวิธีการปฏิบัติต่อข้อมูลส่วนบุคคล โดย บี.กริม ะจัดให้มีระเบียบและแนวทางเพื่อกำหนดขั้นตอนปฏิบัติงาน (Procedure and Guideline) และเอกสารต่างๆ ที่เกี่ยวข้องและจำเป็น เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่เก็บรวบรวมในแต่ละประเภทนั้น จะได้รับความคุ้มครองและได้รับความปลอดภัย
- นิยาม
บริษัทย่อย หมายถึง บริษัท หรือ นิติบุคคลที่ บี.กริม มีอำนาจควบคุม หรืออยู่ภายใต้อำนาจควบคุมของ บี.กริม หรือ บี.กริม ถือหุ้นที่มีสิทธิออกเสียงเกินกว่าร้อยละ 50 ไม่ว่าโดยทางตรงหรือทางอ้อมตลอดสาย
ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว หมายถึง ข้อมูลส่วนบุคคลซึ่งมีความละเอียดอ่อนตามที่กำหนดไว้ในมาตรา 26 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
การประมวลผลข้อมูล หมายถึง การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- การเก็บรวบรวมข้อมูลส่วนบุคคล
บี.กริม จะเก็บรวบรวมข้อมูลส่วนบุคคลด้วยวิธีการโดยชอบด้วยกฎหมายและเป็นธรรมเท่าที่จำเป็นภายในขอบเขตของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ โดยมีวัตถุประสงค์ และขอบเขต เพื่อการดำเนินงานภายใต้วัตถุประสงค์ของ บี.กริม เท่านั้น ทั้งนี้ บี.กริม จะดำเนินการให้เจ้าของข้อมูลรับรู้ และให้ความยินยอมเป็นหนังสือ หรือให้ความยินยอมผ่านระบบอิเล็กทรอนิกส์ โดยเป็นไปตามหลักเกณฑ์ที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ได้กำหนดไว้ เว้นแต่การเก็บรวบรวมข้อมูลส่วนบุคคลจะเข้าข้อยกเว้นตามที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ได้กำหนดไว้
- ประเภทของข้อมูลส่วนบุคคลที่มีการจัดเก็บ
ประเภทของข้อมูลส่วนบุคคลที่ บี.กริม อาจเก็บรวบรวมจะขึ้นอยู่กับลักษณะของกิจกรรม สถานที่ รวมถึงวิธีการเก็บรวบรวมข้อมูล ซึ่งอาจรวมถึงข้อมูลดังนี้
- ข้อมูลส่วนบุคคลที่ระบุตัวตนได้ อาทิ ชื่อ นามสกุล รูปถ่าย เลขที่บัตรประจำตัวประชาชน เลขที่หนังสือเดินทาง หมายเลขใบอนุญาตขับขี่ วันเกิด อาชีพ ตำแหน่ง ชื่อสถานที่ทำงาน สัญชาติ เพศ สถานภาพการสมรส ทะเบียนรถ บันทึกภาพจากกล้องวงจรปิดภายในพื้นที่ที่อยู่ในความควบคุมของบี.กริม ชื่อผู้ใช้ระบบ รหัสผ่าน
- ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ตามคำนิยามในข้อ 3
- ข้อมูลการติดต่อบุคคล อาทิ ที่อยู่ที่บ้านหรือสถานที่ทำงาน หมายเลขโทรศัพท์ อีเมล Social Application เช่น LINE Whatsapp Facebook
- ข้อมูลทางการเงินส่วนบุคคล อาทิ รายละเอียดเกี่ยวกับบัญชีธนาคาร ข้อมูลเกี่ยวกับภาษีเงินได้บุคคลธรรมดา
- ข้อมูลเกี่ยวกับการจ้างงาน อาทิ ข้อมูลการสัมภาษณ์งาน การประเมินผลการทำงานตำแหน่งงาน เงินเดือน ผลประโยชน์จากการจ้างงานอื่นๆ ข้อมูลประกันสังคม กองทุนสำรองเลี้ยงชีพ
- ข้อมูลสารสนเทศต่างๆ อาทิ ข้อมูลทางเทคนิคจากการเข้าใช้งานเว็บไซต์หรือแอปพลิเคชันของ บี.กริม ข้อมูลการใช้งานและการเข้าถึงระบบสารสนเทศ (Log files) เลขที่อยู่ไอพี (IP Address) คุกกี้ (Cookie)
แหล่งที่มาในการเก็บรวบรวมข้อมูลส่วนบุคคล
บี.กริม จะเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรงเป็นหลัก อย่างไรก็ดี บี.กริม อาจเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เช่น
- แหล่งข้อมูลสาธารณะ
- นายทะเบียนหุ้น นายทะเบียนหลักทรัพย์
- การติดต่อสื่อสารใดๆ ทั้งต่อหน้า หรือผ่านเครื่องมือสื่อสาร
- ผู้ที่เกี่ยวข้องของเจ้าของข้อมูลส่วนบุคคล
ทั้งนี้ หาก บี.กริม มีการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น บี.กริม จะเก็บรวบรวมโดยการปฏิบัติตามที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ได้กำหนดไว้
- วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
บี.กริม จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ต่างๆ ดังต่อไปนี้
- เพื่อประโยชน์ในการดำเนินกิจการของ บี.กริม ภายใต้หลักเกณฑ์การปฏิบัติหน้าที่ตามกฎหมาย สัญญา และประโยชน์โดยชอบด้วยกฎหมาย
- เพื่อการปรับปรุงและเพิ่มประสิทธิภาพการทำงาน เช่น การจัดทำฐานข้อมูล วิเคราะห์ และพัฒนากระบวนการดำเนินงาน
- เพื่อใช้ในการยืนยันหรือระบุตัวตนเมื่อเข้าใช้ระบบเทคโนโลยีดิจิทัล
- เพื่อการตรวจสอบข้อมูลของเจ้าของข้อมูลตามกฎหมาย
- เพื่อปฏิบัติตามวัตถุประสงค์ที่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
- เพื่อการใดๆ อันมีวัตถุประสงค์ที่ไม่ต้องห้ามตามกฎหมาย และ/หรือเพื่อปฏิบัติให้เป็นตามกฎหมาย กฎ ประกาศ หรือระเบียบที่เกี่ยวข้องต่อการดำเนินงานของ บี.กริม
- เพื่อวัตถุประสงค์ในการจัดเก็บ บันทึก สำรอง หรือทำลายข้อมูลส่วนบุคคล
บี.กริม จะไม่กระทำการใดๆ นอกเหนือจากที่ระบุในวัตถุประสงค์ข้างต้น เว้นแต่
- ได้แจ้งวัตถุประสงค์ใหม่ให้แก่เจ้าของข้อมูลทราบ และได้รับความยินยอมจากเจ้าของข้อมูล
- เป็นการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ หรือกฎหมายอื่นที่เกี่ยวข้อง
6. การให้ความยินยอม
บี.กริม จะเก็บรวบรวม ใช้ เปิดเผย และประมวลผลข้อมูลส่วนบุคคลได้ต่อเมื่อได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เป็นหนังสือ หรือผ่านระบบอิเล็กทรอนิกส์ ไว้ก่อนหรือในขณะนั้น ยกเว้นกรณีที่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีดังกล่าว
ในกรณีที่ บี.กริม เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว บี.กริม จะขอความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้งก่อน เว้นแต่จะเข้าข้อยกเว้นตามที่กฎหมายกำหนด
การให้ความยินยอมของเจ้าของข้อมูล หมายถึง เจ้าของข้อมูลยินยอมให้ บี.กริม กระทำการเก็บรวบรวม ใช้ เปิดเผย หรือเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลต่อบุคคล หรือนิติบุคคลทั้งในประเทศและต่างประเทศตามที่ระบุไว้ข้างต้นตามนโยบายนี้ เว้นแต่กฎหมายจะกำหนดเป็นอย่างอื่น
- การปฏิเสธการให้ความยินยอม
การให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเป็นเรื่องที่กระทำโดยสมัครใจ เจ้าของข้อมูลส่วนบุคคลอาจปฏิเสธการให้ข้อมูลตามที่ บี.กริม ขอได้ แต่การไม่ให้ข้อมูลดังกล่าว อาจส่งผลให้ บี.กริม ไม่สามารถเข้าทำสัญญา ข้อผูกพัน ให้สวัสดิการ ให้หรือรับสินค้าหรือบริการใดๆ แก่เจ้าของข้อมูลส่วนบุคคล หรือไม่สามารถดำเนินการใดๆ ตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือไม่อาจปฏิบัติหน้าที่ตามสัญญา หรือเงื่อนไขและข้อกำหนดใดๆ ที่ต้องปฏิบัติได้
- การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
บี.กริม จะไม่ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลอื่น โดยปราศจากความยินยอมของเจ้าของข้อมูล และจะเปิดเผยตามวัตถุประสงค์ที่ได้มีการแจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวม เว้นแต่ในกรณีที่ได้รับการยกเว้นไม่ต้องขอความยินยอมตามที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ กำหนด และกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย อย่างไรก็ตาม เพื่อประโยชน์ต่อการดำเนินงานของ บี.กริม และการให้บริการแก่เจ้าของข้อมูล บี.กริม อาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้แก่บุคคลทั้งในและต่างประเทศ ดังต่อไปนี้
- บริษัทย่อยของ บี.กริม และ/หรือ บริษัทในเครือบี.กริม ที่มีนโยบายคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
- ผู้ถือหุ้น หรือผู้มีส่วนได้เสีย
- คู่สัญญา ผู้รับจ้างช่วง ผู้ให้บริการที่เกี่ยวกับการดำเนินกิจการของ บี.กริม
- บุคคลใดๆ ที่เจ้าของข้อมูล ยินยอมให้ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล
- บุคคล หรือหน่วยงานของรัฐตามกฎหมาย ตามคำสั่งศาล หรือหน่วยงานอื่นใดที่มีอำนาจตามกฎหมาย
นอกจากนี้ บี.กริม จะดำเนินการให้บุคคลที่ได้รับข้อมูลไป ทำการเก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับ และไม่นำไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ บี.กริม ได้กำหนดไว้
- มาตรการรักษาความมั่นคงปลอดภัย
บี.กริม จะกำหนดมาตรการการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล รวมถึงมาตรการด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ระเบียบ ข้อบังคับ หลักเกณฑ์ กฎหมาย และแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่พนักงานของ บี.กริม และบุคคลอื่นที่เกี่ยวข้อง เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและปลอดภัยตามมาตรฐานที่กฎหมายกำหนด
- ระยะเวลาในการเก็บข้อมูลส่วนบุคคล
บี.กริม จะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลเป็นระยะเวลาเท่าที่จำเป็นเพื่อวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลซึ่งได้ระบุไว้ในนโยบายฉบับนี้ ตามหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่ บี.กริม ยังมีความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคล และอาจเก็บต่อไปตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความทางกฎหมาย เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามกฎหมายหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อเหตุอื่นตามนโยบายและข้อกำหนดภายในของ บี.กริม
ในกรณีที่ไม่สามารถระบุระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลได้ชัดเจน บี.กริม จะเก็บรักษาข้อมูลไว้ตามระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม (เช่น อายุความตามกฎหมายทั่วไปสูงสุด 10 ปี)
- สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิต่างๆ ตามที่กฎหมายกำหนดดังต่อไปนี้
- สิทธิในการเข้าถึงข้อมูล ขอรับสำเนา หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ไม่ได้ให้ความยินยอม
- สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
- สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้ไม่สามารถระบุตัวเจ้าของข้อมูลส่วนบุคคลได้
- สิทธิในการเพิกถอนความยินยอม
- สิทธิในการขอรับหรือโอนย้ายข้อมูลส่วนบุคคล
- สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
- สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- สิทธิในการร้องเรียนต่อเจ้าหน้าที่ หรือหน่วยงานที่กำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล
การเรียกร้องตามสิทธิดังกล่าวจะต้องไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่เจ้าของข้อมูลได้ให้ความยินยอมโดยชอบด้วยกฎหมาย รวมถึงไม่ขัดต่อการปฏิบัติตามข้อกำหนดของกฎหมายอื่นใดที่ บี.กริม จำเป็นต้องปฏิบัติตาม
- ข้อมูลติดต่อ
หากเจ้าของข้อมูลส่วนบุคคลมีข้อสงสัยใดๆ เกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ หรืvประสงค์ที่ใช้สิทธิตามที่ได้ระบุไว้ในข้อ 11 สามารถติดต่อสอบถามได้ที่อีเมล [email protected]
- การทบทวนและปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
บี.กริม อาจทบทวนและปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ เพื่อให้สอดคล้องกับกฎหมายและกฎเกณฑ์ที่เกี่ยวข้อง และความคิดเห็น หรือข้อเสนอแนะจากหน่วยงานต่างๆ รวมถึงแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล เพื่อพัฒนากระบวนการคุ้มครองข้อมูลส่วนบุคคลของ บี.กริม ให้สอดคล้องต่อการเปลี่ยนแปลงการดำเนินงาน และการเปลี่ยนแปลงทางเทคโนโลยีให้มีประสิทธิภาพในการรักษาความปลอดภัยที่เหมาะสม โดยบี.กริม จะประกาศแจ้งให้ทราบล่วงหน้า
นโยบายนี้มีผลบังคับใช้ตั้งแต่วันที่ 31 พฤษภาคม 2565 เป็นต้นไป
ประกาศ ณ วันที่ 31 พฤษภาคม 2565
(ดร. ฮาราลด์ ลิงค์)
ประธานเจ้าหน้าที่บริหาร