นโยบายการคุ้มครองข้อมูลส่วนบุคคล

MARCO ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล เนื่องจากการคุ้มครองข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของการรับผิดชอบต่อสังคมและเป็นรากฐานในการสร้างความสัมพันธ์ทางธุรกิจที่น่าเชื่อถือกับลูกค้า MARCO จึงยึดมั่นในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และกฎเกณฑ์ทางการอื่นๆ ที่เกี่ยวข้อง

                นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ถูกจัดทำขึ้นเพื่อกำหนดหลักการปฏิบัติงานสำหรับพนักงานของ MARCO ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎเกณฑ์ทางการอื่นๆ ที่เกี่ยวข้อง

“MARCO”

หมายถึง

บริษัท มาโค เทคโนโลยี จำกัด

“พนักงาน”

หมายถึง

พนักงานของ MARCO

“ผู้มีอำนาจอนุมัติ”

หมายถึง

ผู้ที่ได้รับมอบหมายจาก MARCO ให้มีอำนาจในการอนุมัติใดๆ ภายใต้ขอบเขตอำนาจที่ได้รับจาก MARCO

“ผู้ดูแลระบบงาน”

หมายถึง

หน่วยงานหรือผู้ที่ได้รับมอบหมายจากเจ้าของระบบงานหรือเจ้าของข้อมูลส่วนบุคคล ให้ทำหน้าที่รับผิดชอบดูแลระบบงานหนึ่งๆ

“เจ้าของระบบงาน”

หมายถึง

ผู้บริหารของฝ่ายงานทางธุรกิจ หรือผู้บริหาร ที่มีหน้าที่และความรับผิดชอบต่อระบบงานหนึ่งๆ

 

“เจ้าของข้อมูลส่วนบุคคล”

หมายถึง

บุคคลธรรมดาที่สามารถระบุตัวตนได้จากข้อมูลส่วนบุคคล (ไม่ใช่เป็นเจ้าของในลักษณะทรัพยสิทธิ หรือเป็นผู้ที่สร้างข้อมูลนั้นขึ้นมา)

                                                                                                                  

“ผู้เยาว์”

หมายถึง

บุคคลธรรมดาที่มีอายุยังไม่ครบยี่สิบปีบริบูรณ์ ยกเว้นบุคคลธรรมดาที่มีอายุยังไม่ครบยี่สิบปีบริบูรณ์แต่ได้ทำการสมรสตามกฎหมายอันมีผลให้เป็นผู้บรรลุนิติภาวะตามบทบัญญัติแห่งกฎหมาย

“คนไร้ความสามารถ”

หมายถึง

บุคคลวิกลจริตที่ไม่สามารถดูแลตัวเองหรือผลประโยชน์ของตัวเองได้ ซึ่งศาลได้สั่งให้เป็นคนไร้ความสามารถและอยู่ในความดูแลของผู้อนุบาลที่ศาลแต่งตั้ง

“คนเสมือนไร้ความสามารถ”

หมายถึง

บุคคลที่มีกายพิการ หรือมีจิตฟั่นเฟือนไม่สมประกอบ หรือประพฤติสุรุ่ยสุร่ายเสเพลเป็นอาจิณ หรือติดสุรายาเมา หรือเหตุอื่นใดทำนองเดียวกัน จนไม่สามารถจัดทำการงานโดยตนเองได้ หรือจัดกิจการไปในทางที่เสื่อมเสียแก่ทรัพย์สินของตนเองหรือครอบครัว ซึ่งศาลได้สั่งให้เป็นคนเสมือนไร้ความสามารถและอยู่ในความดูแลของผู้พิทักษ์ที่ศาลแต่งตั้ง

“ข้อมูลส่วนบุคคล”

หมายถึง

ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม

“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว”

หมายถึง

ข้อมูลส่วนบุคคลที่ต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ และอื่นๆ ตามที่กฎหมายกำหนด

“ข้อมูลชีวภาพ”

หมายถึง

ข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ

“ผู้ควบคุมข้อมูลส่วนบุคคล”

หมายถึง

ผู้ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล”

หมายถึง

ผู้ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

“การประมวลผลข้อมูล”

หมายถึง

การดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนม้ติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย

 

 

“สำนักงาน”

หมายถึง

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

 

 

 

 

 

  1. คณะกรรมการบริหาร MARCO (MARCO Management Committee) มีหน้าที่กำกับดูแลให้มีการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายและกฎเกณฑ์ทางการ กำกับดูแลการปฏิบัติตามนโยบาย และมีอำนาจอนุมัติการเปลี่ยนแปลงแก้ไขหรือทบทวนนโยบายนี้
  2. ผู้บริหารระดับสูงมีหน้าที่ควบคุมการปฏิบัติงานเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมายและกฎเกณฑ์ทางการ รวมถึงจัดให้มีการรักษาความปลอดภัยของข้อมูลที่มีประสิทธิผล
  3. พนักงานมีหน้าที่ปฏิบัติตามนโยบาย ระเบียบ และกระบวนการปฏิบัติงานของ MARCO รวมถึงกฎหมายและกฎเกณฑ์ต่างๆโดยเคร่งครัด

4.1 ข้อกำหนดทั่วไป

    1. การคุ้มครองข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ครอบคลุมข้อมูลส่วนบุคคลของบุคคลธรรมดาทุกประเภทที่ MARCO ได้รับข้อมูลส่วนบุคคลนั้นมาทั้งทางตรงและทางอ้อมไม่ว่าผ่านช่องทางใด
    2. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) มีหน้าที่ดำเนินการทบทวนนโยบายฉบับนี้อย่างน้อยปีละ 1 ครั้ง หรือ เมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญต่อการปฏิบัติงานตามนโยบายนี้

4.2    หลักการ

    1. MARCO เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะนั้น เว้นแต่ MARCO ได้ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ หรือมีฐานที่ชอบด้วยกฎหมายรองรับ ดังนี้
    • เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา
    • เป็นการปฏิบัติตามกฎหมาย
    • เป็นการจำเป็นภายใต้ประโยชน์โดยชอบด้วยกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผล
    • เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะ
    • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
    • เพื่อการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ

2. MARCO เก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายและแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบตามที่กฎหมายกำหนด

3. MARCO ลบ ทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลหรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอหรือตามที่เจ้าของข้อมูลส่วนบุคคลถอนความยินยอม เว้นแต่มีเหตุโดยชอบด้วยกฎหมายหรือกฎเกณฑ์ทางการที่ทำให้ MARCO ต้องเก็บรักษาข้อมูลส่วนบุคคลนั้นต่อไป

4. MARCO ดูแลข้อมูลส่วนบุคคลอย่างปลอดภัย รวมถึงคำนึงถึงความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลและการรักษาความลับของข้อมูลส่วนบุคคล

5.1 การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

    1. การขอความยินยอมในการเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล ต้องดำเนินการอย่างชัดแจ้ง เป็นลายลักษณ์อักษรหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ การขอความยินยอมด้วยวิธีอื่นจะต้องมีหลักฐานที่น่าเชื่อถือได้ว่า เจ้าของข้อมูลส่วนบุคคลได้แสดงเจตนาให้ความยินยอม
    2. เจ้าของข้อมูลส่วนบุคคลต้องได้รับการแจ้งให้ทราบถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างชัดเจน เข้าใจง่าย ไม่หลอกลวง หรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์และคำนึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม
    3. กรณีเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
    4. กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ
    5. กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
    6. กรณีเจ้าของข้อมูลส่วนบุคคล หรือผู้มีอำนาจตามข้อ 3, 4 และ 5 ข้างต้น ต้องการถอนความยินยอมที่เคยให้ไว้ ให้ดำเนินการตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอโดยง่ายเช่นเดียวกับการให้ความยินยอม และหากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ให้แจ้งถึงผลกระทบจากการถอนความยินยอมนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ
    7. MARCO ต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลเท่านั้น การเก็บรวบรวบ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างจากวัตถุประสงค์ที่ได้แจ้งไว้ จะทำไม่ได้เว้นแต่ได้แจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบ โดยได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว

5.2 การเก็บรวบรวมข้อมูลส่วนบุคคล

    1. การเก็บรวบรวมข้อมูลส่วนบุคคลต้องมีวัตถุประสงค์เพื่อนำข้อมูลส่วนบุคคลมาใช้ในการดำเนินงานของ MARCO ในด้านต่างๆ ภายใต้ข้อกำหนดของกฎหมายหรือกฎเกณฑ์ทางการ
    2. ในการเก็บรวบรวมข้อมูลส่วนบุคคล ให้แจ้งเจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ถึงรายละเอียดดังต่อไปนี้
      • วัตถุประสงค์ของการเก็บรวบรวบเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย
      • ความจำเป็นที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือเพื่อเข้าทำสัญญา และผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
      • ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้
      • ประเภทของบุคคลหรือหน่วยงานที่อาจได้รับการเปิดเผยข้อมูลส่วนบุคคล รวมถึงรายชื่อของบุคคลหรือหน่วยงานดังกล่าว (ตามแต่กรณี)
      • สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย
      • ข้อมูลเกี่ยวกับ MARCO และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ

3. ข้อมูลส่วนบุคคลที่เก็บรวบรวมต้องถูกต้องครบถ้วนตามข้อเท็จจริงที่ได้รับแจ้งจากเจ้าของข้อมูลส่วนบุคคล หากข้อมูลมีการเปลี่ยนแปลง ให้ดำเนินการแก้ไขให้ถูกต้องและเป็นปัจจุบัน

4. การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว ให้ดำเนินการขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ โดยต้องขออนุมัติจากผู้มีอำนาจอนุมัติ

5. การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง ต้องแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบภายใน 30 วันนับตั้งแต่เก็บรวบรวมข้อมูลส่วนบุคคล โดยขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ โดยขออนุมัติจากผู้มีอำนาจอนุมัติ

6. การเก็บรวบรวมข้อมูลส่วนบุคคล ต้องมีการบันทึกรายละเอียดวัตถุประสงค์การเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ระยะเวลาเก็บรักษาข้อมูล สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล และเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล รวมถึงรายละเอียดอื่นๆ ตามที่กฎหมายกำหนดเพื่อให้เจ้าของข้อมูลส่วนบุคคลหรือสำนักงานตรวจสอบได้

5.3 การเข้าถึงและการใช้ข้อมูลส่วนบุคคล

    1. พนักงานสามารถเข้าถึงหรือใช้ข้อมูลส่วนบุคคลได้เท่าที่จำเป็นเพื่อการปฏิบัติงานและตามสิทธิที่ MARCO กำหนดเท่านั้น หากพนักงานมีความจำเป็นในการปฏิบัติงานที่ต้องเข้าถึงหรือใช้ข้อมูลส่วนบุคคลเกินกว่าสิทธิที่ MARCO กำหนด ให้ดำเนินการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของ MARCO (MARCO DPO)
    2. พนักงานต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่เก็บรวบรวมข้อมูลส่วนบุคคลหรือตามที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมเท่านั้น เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ
    3. ผู้ดูแลระบบงานและเจ้าของระบบงานต้องอนุญาตให้พนักงานเข้าถึงข้อมูลส่วนบุคคลได้เฉพาะพนักงานที่มีสิทธิตามที่ MARCO กำหนด

5.4 การเปิดเผยและการรับข้อมูลส่วนบุคคล

    1. การเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลหรือองค์กรภายนอก MARCO ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือมีฐานที่ชอบด้วยกฎหมายรองรับ โดยให้ถือปฏิบัติตามมาตรการเปิดเผยและรับส่งข้อมูลส่วนบุคคลที่ MARCO กำหนดไว้ เว้นแต่เป็นการปฏิบัติตามกฎหมายหรือกฎเกณฑ์ทางการ
    2. การรับข้อมูลส่วนบุคคลจากบุคคลหรือองค์กรภายนอก MARCO ต้องตรวจสอบให้มั่นใจว่าข้อมูลส่วนบุคคลที่ได้รับ มีฐานที่ชอบด้วยกฎหมายรองรับ โดยให้ถือปฏิบัติตามมาตรการเปิดเผยและรับส่งข้อมูลส่วนบุคคลที่กำหนดไว้ เว้นแต่เป็นการปฏิบัติตามกฎหมายหรือกฎเกณฑ์ทางการ
    3. กรณีที่ MARCO ให้บุคคลหรือองค์กรภายนอก MARCO เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแทน MARCO (ผู้ประมวลผลข้อมูลส่วนบุคคล) ต้องจัดให้มีข้อตกลงระหว่างกันเพื่อควบคุมการดำเนินงานของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย โดยกำหนดวัตถุประสงค์หรือคำสั่งในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคลอย่างชัดเจน และกำหนดมาตรการป้องกันไม่ให้ผู้ประมวลผลข้อมูลส่วนบุคคลเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับจาก MARCO นอกเหนือจากวัตถุประสงค์หรือคำสั่งที่ MARCO กำหนด

5.5    การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

    1. ในกรณีที่ MARCO ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์กรระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่กฎหมายกำหนด เว้นแต่
      • เป็นการปฏิบัติตามกฎหมาย
      • ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทาง
      • เป็นความจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคคลก่อนเข้าทำสัญญานั้น
      • เป็นการกระทำตามสัญญาระหว่าง MARCO ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
      • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
      • เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

2. กรณี MARCO ได้กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลเพื่อการส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในต่างประเทศและอยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน หากนโยบายการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวได้รับการตรวจสอบและรับรองจากสำนักงาน การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศที่เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรองดังกล่าวให้สามารถกระทำได้โดยไม่ต้องปฏิบัติตามข้อ 1 ข้างต้น

 

3. การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศให้ถือปฏิบัติตาม นโยบายการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

5.6 การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

 

    1. ข้อมูลส่วนบุคคลต้องได้รับการรักษาความมั่นคงปลอดภัยด้วยมาตรการที่เหมาะสมตามที่ MARCO กำหนด และเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ มาตรการดังกล่าวต้องได้รับการทบทวนเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มาตรการรักษาความมั่นคงปลอดภัยของ MARCO มีประสิทธิผลอย่างต่อเนื่อง
    2. ข้อมูลส่วนบุคคลต้องได้รับการจำแนกชั้นความลับ และไม่ถูกเปิดเผยต่อบุคคลอื่นที่ไม่มีหน้าที่เกี่ยวข้อง เว้นแต่เป็นการปฏิบัติตามกฎหมายหรือกฎเกณฑ์ทางการ
    3. การนำข้อมูลส่วนบุคคลออกจากระบบงานเพื่อนำมาใช้ปฏิบัติงานที่เครื่องคอมพิวเตอร์ของ MARCO ที่ให้พนักงานหรือฝ่ายงานใช้งาน ต้องมีการเก็บรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและป้องกันไม่ให้บุคคลอื่นที่ไม่มีหน้าที่เกี่ยวข้องเข้าถึงข้อมูลส่วนบุคคล รวมถึงต้องมีการลบหรือทำลายข้อมูลส่วนบุคคลในเครื่องคอมพิวเตอร์นั้นเมื่อใช้งานเสร็จ

5.7 สิทธิของเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิต่างๆ เกี่ยวกับข้อมูลส่วนบุคคลของตนได้ตามที่กฎหมายกำหนด โดยฝ่ายงานที่เกี่ยวข้องต้องจัดการการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลภายในระยะเวลาที่กฎหมายหรือกฎเกณฑ์ทางการกำหนด

 

    1. เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเพิกถอนความยินยอมที่ได้ให้ไว้กับ MARCO ได้
    2. เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
    3. เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ส่งหรือโอนข้อมูลส่วนบุคคลของตนในรูปแบบที่สามารถอ่านหรือใช้งานได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ ไปยังผู้ควบคุมข้อมูลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
    4. เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้
    5. เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
    6. เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอระงับการใช้ข้อมูลส่วนบุคคลของตนได้
    7. เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

5.8 หน้าที่ของ MARCO ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (MARCO as a Data Controller)

    1. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยมิชอบ และทบทวนมาตรการควบคุมดังกล่าวเมื่อจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป โดยต้องไม่น้อยกว่ามาตรฐานขั้นต่ำที่กฎหมายกำหนด
    2. กรณีต้องให้ข้อมูลส่วนบุคคลแก่บุคคลอื่น ต้องดำเนินการป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยมิชอบ
    3. จัดให้มีกระบวนการเพื่อลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บข้อมูลส่วนบุคคลนั้น
    4. แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่สามารถกระทำได้ เว้นแต่การละเมิดไม่มีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะส่งผลกระทบต่อสิทธิเสรีภาพของบุคคล ให้แจ้งเหตุละเมิดแก่เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางเยียวยาโดยไม่ชักช้า ทั้งนี้ การแจ้งดังกล่าวจะต้องเป็นไปตามหลักเกณฑ์และวิธีการที่กฎหมายกำหนด

5.9 หน้าที่ของ MARCO ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (MARCO as a Data Processor)

    1. ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น
    2. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
    3. จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์ที่กฎหมายกำหนด

5.10 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่ MARCO แต่งตั้ง มีหน้าที่และความรับผิดชอบดังนี้

    1. ควบคุมดูแลให้มีการจัดทำและกำหนดนโยบาย ระเบียบ คู่มือ และกระบวนการปฏิบัติงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
    2. ดำเนินการร่วมกับฝ่ายงานที่เกี่ยวข้องในการกำกับดูแลการปฏิบัติงานต่างๆ ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
    3. ให้คำแนะนำและความเห็นเกี่ยวกับการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
    4. จัดให้พนักงานได้รับการสื่อความและฝึกอบรมอย่างเพียงพอ เพื่อให้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล
    5. พิจารณาคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายและการดำเนินการที่เกี่ยวข้อง
    6. ร่วมกับฝ่ายงานที่เกี่ยวข้องในการตรวจสอบการปฏิบัติงานของ MARCO หรือผู้ประมวลผลข้อมูลส่วนบุคคลรวมถึงลูกจ้างหรือผู้รับจ้างของผู้ประมวลผลข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เป็นไปตามข้อกำหนดของกฎหมายและสอดคล้องกับนโยบาย ระเบียบ และกระบวนการปฏิบัติงาน และรายงานผลการตรวจสอบที่มีนัยสำคัญต่อ คณะ MARCO Management Committee
    7. ประสานงานและให้ความร่วมมือกับหน่วยงานทางการ ในเรื่องการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลตามเงื่อนไขและภายในระยะเวลาที่กฎหมายกำหนด

5.11 การละเมิดข้อมูลส่วนบุคคล

    1. พนักงานต้องแจ้งให้ผู้บังคับบัญชาและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทราบโดยทันที เมื่อพบว่ามีการฝ่าฝืนนโยบายฉบับนี้ นโยบายอื่นที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กฎหมาย หรือกฎเกณฑ์ทางการ อื่นๆ ที่เกี่ยวข้อง
    2. หากพบว่ามีการละเมิดข้อมูลส่วนบุคคล ฝ่ายงานที่เกี่ยวข้องต้องดำเนินการตรวจสอบข้อเท็จจริงและสาเหตุ และแจ้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
    3. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าวต่อ คณะ MARCO Management Committee และสำนักงานโดยไม่ชักช้า ภายใน 72 ชั่วโมงนับตั้งแต่ทราบเหตุ เว้นแต่การละเมิดข้อมูลส่วนบุคคลดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หากการละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ฝ่ายงานที่เกี่ยวข้องต้องแจ้งเหตุละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางการเยียวยา

สิทธิของท่านในข้อนี้เป็นสิทธิตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่นที่เกี่ยวข้องที่ท่านควรทราบ โดยท่านสามารถขอใช้สิทธิต่างๆ ได้ภายใต้ข้อกำหนดของกฎหมาย และนโยบายที่บริษัทกำหนดไว้ก่อนหรือในขณะหรือที่จะมีการแก้ไขเพิ่มเติมในอนาคต ตลอดจนหลักเกณฑ์ตามที่บริษัทกำหนดขึ้น

 

5.1 สิทธิในการขอถอนความยินยอม: ท่านมีสิทธิที่จะถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของท่านอยู่กับบริษัท เว้นแต่มีข้อจำกัดสิทธินั้นโดยกฎหมายหรือมีสัญญาที่ให้ประโยชน์แก่ท่านอยู่ (ไม่ว่าจะเป็นความยินยอมที่ท่านให้ไว้ก่อนวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับหรือหลังจากนั้น)

 

5.2 สิทธิในการขอเข้าถึง ขอรับข้อมูลหรือสำเนาข้อมูล: ท่านมีสิทธิขอเข้าถึง หรือรับ ข้อมูลส่วนบุคคลของท่านเองที่อยู่ในความรับผิดชอบของบริษัท และขอให้บริษัททำสำเนาข้อมูลดังกล่าวให้แก่ท่าน รวมถึงขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่ท่านไม่ได้ให้ความยินยอมว่าบริษัทได้ข้อมูลส่วนบุคคลของท่านมาได้อย่างไร

 

5.3 สิทธิในการคัดค้าน: ท่านมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านเมื่อใดก็ได้ ในกรณีที่กฎหมายให้อำนาจบริษัทในการเก็บรวบรวมข้อมูลของท่านได้โดยไม่ต้องขอความยินยอมจากท่านก่อน

 

5.4 สิทธิขอให้แก้ไขข้อมูล: ท่านมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด

 

5.5 สิทธิขอให้ลบหรือทำลายข้อมูล: ท่านมีสิทธิขอลบหรือทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของได้ ดังต่อไปนี้ 

    1.  ข้อมูลของท่านไม่มีความจำเป็นที่จะเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของท่าน 
    2.  เมื่อท่านได้ใช้สิทธิขอถอนความยินยอมและบริษัทไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านได้ 
    3.  เมื่อท่านใช้สิทธิคัดค้านตาม ข้อ 5.3 และบริษัทไม่อาจปฏิเสธคำขอได้ตามกฎหมาย
    4.  เมื่อข้อมูลของท่านได้ถูกเก็บ ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย

5.6 สิทธิขอให้ระงับการใช้ข้อมูล: ท่านมีสิทธิขอให้บริษัทระงับการใช้ข้อมูลของท่าน ในกรณีดังต่อไปนี้ 

    1.  เมื่อบริษัทอยู่ในระหว่างการตรวจสอบตามที่ท่านร้องขอ
    2.  เมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทำลาย แต่ท่านขอให้ระงับการใช้แทน
    3.  เมื่อข้อมูลของท่านหมดความจำเป็นในการเก็บรักษาตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลของท่าน แต่ท่านมีความจำเป็นต้องขอให้เก็บรักษาไว้เพื่อใช้ในการตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
    4.  เมื่อบริษัทอยู่ระหว่างพิสูจน์คำขอคัดค้านของท่านตามข้อ 5.3 เพื่อดูว่าบริษัทมีอำนาจตามกฎหมายให้ปฏิเสธคำคัดค้านของท่านได้หรือไม่

5.7 ท่านมีสิทธิร้องขอให้บริษัทดำเนินการให้ข้อมูลของท่านนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด หากบริษัทไม่ดำเนินการตามคำร้องขอ บริษัทจะบันทึกคำร้องขอของท่านพร้อมด้วยเหตุผลไว้เป็นหนังสือหรือระบบอิเล็กทรอนิกส์

 

5.8 สิทธิร้องเรียน: ท่านมีสิทธิร้องเรียนต่อผู้มีอำนาจตามกฎหมายที่เกี่ยวข้อง หากท่านเชื่อว่าการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านเป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายที่เกี่ยวข้อง

 

5.9 การใช้สิทธิของท่านดังกล่าวข้างต้นอาจถูกจำกัดภายใต้กฎหมายที่เกี่ยวข้อง และมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฏิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิข้างต้นของท่านได้ เช่น ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล การใช้สิทธิละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น เป็นต้น

6.1 การปฏิบัติตามนโยบาย

กรณีที่มีการแก้ไขหรือเปลี่ยนแปลงกฎหมายหรือข้อกำหนดของหน่วยงานทางการที่เกี่ยวข้องกับการคุ้มครองข้อส่วนบุคคลที่นอกเหนือจากที่กำหนดไว้ในนโยบายฉบับนี้ ให้พนักงานถือปฏิบัติตามกฎหมายหรือข้อกำหนดของหน่วยงานทางการที่แก้ไขหรือเปลี่ยนแปลงนั้น

6.2 การฝึกอบรม

พนักงานต้องได้รับการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ เพื่อให้พนักงานตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และสามารถปฏิบัติงานได้ถูกต้องตามนโยบายฉบับนี้ รวมถึงกฎหมายและกฎเกณฑ์ทางการที่เกี่ยวข้อง

6.3 การจัดทำระเบียบ คำสั่ง และคู่มือปฏิบัติงาน

ฝ่ายงานที่เกี่ยวข้องต้องจัดให้มีระเบียบปฏิบัติ คำสั่ง และคู่มือปฏิบัติงานในการคุ้มครองข้อมูลส่วนบุคคลตามความเหมาะสม และทบทวนระเบียบปฏิบัติ คำสั่ง และคู่มือปฏิบัติงานดังกล่าวอย่างสม่ำเสมอ

ลำดับที่

เลขที่เอกสาร

ชื่อเอกสารภาษาไทย

ชื่อเอกสารภาษาอังกฤษ

1

Marco-DPO/CBDT-2024-001

นโยบายการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

Cross-Border Data Transfer Policy