นโยบายการคุ้มครองข้อมูลส่วนบุคคล
(Personal Data Protection Policy)

ข้อ 1. หลักการและเหตุผล

เอสแอลซีกรุ๊ป ("บริษัท") ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองหรือระเบียบปฏิบัติที่เกี่ยวข้อง ("กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล") จึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ขึ้น เพื่อสร้างความเข้าใจและอธิบายถึงวิธีการที่บริษัทปฏิบัติต่อข้อมูลส่วนบุคคลของบุคคลที่มีส่วนเกี่ยวข้องกับบริษัท เช่น การเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย มาตรการรักษาความปลอดภัยของข้อมูล รวมถึงสิทธิต่างๆ ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น โดยจะใช้บังคับร่วมกับนโยบายหรือแนวปฏิบัติฉบับอื่นที่มีความเกี่ยวข้องกันด้วย

ทั้งนี้ บุคคลที่มีส่วนเกี่ยวข้องกับบริษัท ให้หมายความรวมถึง กรรมการ ผู้บริหาร พนักงาน ลูกค้า คู่ค้า ผู้ให้บริการ และผู้มีส่วนได้เสียกับบริษัท

ข้อ 2. ขอบเขตการบังคับใช้

• 2.1 ให้นโยบายฉบับนี้มีผลใช้บังคับกับกรรมการ ผู้บริหาร พนักงาน และเจ้าหน้าที่ทุกระดับของบริษัท รวมถึงคู่ค้า ผู้ให้บริการ และผู้มีส่วนได้เสียกับบริษัท
• 2.2 ให้นโยบายฉบับนี้มีผลใช้บังคับกับทุกกิจกรรมการดำเนินงานของบริษัทที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น ช่องทางการจัดเก็บข้อมูลส่วนบุคคล ประเภทและรูปแบบของข้อมูลที่จัดเก็บ วัตถุประสงค์ของบริษัทในการจัดเก็บหรือการนำข้อมูลส่วนบุคคลไปใช้ การแบ่งปันข้อมูลส่วนบุคคลให้กับบุคคลอื่น วิธีการที่บริษัทดำเนินการเพื่อปกป้องข้อมูลส่วนบุคคล เป็นต้น

ข้อ 3. คำนิยาม

คำศัพท์	ความหมาย
บริษัท	เอสแอลซีกรุ๊ป ซึ่งประกอบไปด้วยบริษัทที่มีรายชื่อปรากฏตามเอกสารแนบท้ายนี้
ข้อมูลส่วนบุคคล	ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ข้อมูลส่วนบุคคลอ่อนไหว	ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
เจ้าของข้อมูลส่วนบุคคล	บุคคลธรรมดาที่สามารถระบุตัวตนได้จากข้อมูลส่วนบุคคล เช่น บุคลากรของบริษัท ผู้สมัครงาน บุคคลในครอบครัว/บุคคลอ้างอิง/ผู้ติดต่อฉุกเฉินที่เกี่ยวข้องกับบุคลากรของบริษัทหรือผู้สมัครงาน ลูกค้า ผู้ใช้บริการ คู่ค้า ผู้เข้าชมเว็บไซต์ของบริษัท ผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ ผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ เป็นต้น
ผู้ควบคุมข้อมูลส่วนบุคคล	บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล	บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
การประมวลผลข้อมูลส่วนบุคคล	การดำเนินการใดๆ กับข้อมูลส่วนบุคคล เช่น เก็บรวบรวม บันทึก สำเนา จัดระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน รวม ลบ ทำลาย เป็นต้น
กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล	พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง และให้หมายความรวมถึงกฎหมายฉบับแก้ไขเพิ่มเติมใดๆ ในอนาคต
การจัดทำข้อมูลนิรนาม	กระบวนการที่ทำให้ความเสี่ยงในการระบุตัวตนของเจ้าของข้อมูลนั้นเหลือน้อยมากจนแทบไม่ต้องบริหารจัดการความเสี่ยง (Negligible Risk)

ข้อ 4. ประเภทของข้อมูลส่วนบุคคล

บริษัทอาจเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ดังต่อไปนี้

• ข้อมูลที่ระบุตัวตนได้ เช่น ชื่อ นามสกุล ชื่อเล่น เพศ อายุ วันเกิด สัญชาติ รูปภาพ บันทึกวิดีโอ เลขบัตรประจำตัวประชาชนหรือหนังสือเดินทาง ทะเบียนรถ หรือข้อมูลอื่นใดที่สามารถระบุตัวตนเจ้าของข้อมูลส่วนบุคคลได้
• ข้อมูลส่วนบุคคลอ่อนไหว เช่น บันทึกโครงสร้างใบหน้า บันทึกลายนิ้วมือ ผลตรวจสุขภาพ เชื้อชาติ ข้อมูลสุขภาพ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ประวัติอาชญากรรม
• ข้อมูลติดต่อ เช่น ที่อยู่ตามบัตรประชาชน เบอร์โทรศัพท์ส่วนตัว อีเมลส่วนตัว บัญชีผู้ใช้งานสื่อออนไลน์ เช่น Line ID, Facebook Account หรือข้อมูลอื่นๆ ที่สามารถติดต่อได้
• ข้อมูลสมาชิก เช่น หมายเลขสมาชิก ประเภทสมาชิก และวันที่เริ่มต้นและสิ้นสุดการเป็นสมาชิก
• ข้อมูลพนักงาน เช่น ตำแหน่ง อัตราเงินเดือน หรือค่าตอบแทนอื่น สวัสดิการและสิทธิประโยชน์ภายใต้สัญญาจ้างแรงงาน ประวัติการเบิกค่าใช้จ่าย ข้อมูลการเข้าและออกงาน ผลการประเมินการปฏิบัติงานและผลการประเมินอื่นใด ข้อมูลการร้องเรียน การร้องทุกข์ การสอบสวน และการลงโทษทางวินัย
• ข้อมูลทางการเงิน เช่น เลขที่บัญชีธนาคาร ประเภทบัญชีธนาคาร ค่าตอบแทน ข้อมูลทางภาษี การหักค่าลดหย่อนหรือค่าใช้จ่าย รายละเอียดการทำธุรกรรมกับทางบริษัท
• ข้อมูลด้านความชอบและความสนใจ เช่น ความพึงพอใจ/ความคิดเห็นต่อสินค้า และ/หรือ บริการของกลุ่มบริษัท
• ข้อมูลด้านคุณวุฒิ เช่น ประวัติการศึกษา ประวัติและประสบการณ์การทำงาน ทักษะ ความเชี่ยวชาญ ใบอนุญาต ความถนัดด้านวิชาชีพ ใบประกอบโรคศิลปะ และข้อมูลอื่นๆ ด้านคุณวุฒิ
• ข้อมูลทางด้านความปลอดภัย เช่น บันทึกจากกล้องวงจรปิด หรือข้อมูลอื่นใด ที่สามารถใช้เพื่อรักษาความปลอดภัยของบริษัท
• ข้อมูลสารสนเทศ หมายถึง IP Address คุกกี้ และข้อมูลอื่นๆ ด้านสารสนเทศที่มีลักษณะคล้ายคลึงกัน
• ข้อมูลอื่นๆ เช่น สถานภาพการสมรส

ข้อ 5. การประมวลผลข้อมูลส่วนบุคคล (เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล)

• 5.1 บริษัท ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
  • 5.1.1 ฐานการประมวลผลข้อมูลส่วนบุคคล
  • บริษัทจะดำเนินการประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานการประมวลผลดังต่อไปนี้
    • ฐานความยินยอม (Consent) : บริษัทจะเชิญชวนให้เจ้าของข้อมูลยอมรับหรืออนุญาตให้มีการประมวลผลข้อมูลส่วนบุคคล โดยเจ้าของข้อมูลสามารถเลือกที่จะยอมรับหรือปฏิเสธก็ได้ และหากเจ้าของข้อมูลเลือกที่จะปฏิเสธ บริษัทก็ไม่สามารถประมวลผลได้
    • ฐานสัญญา (Contract) : กรณีการประมวลผลข้อมูลจำเป็นต่อการให้บริการตามสัญญาที่ตกลงกันไว้ระหว่างบริษัทและเจ้าของข้อมูล หรือเมื่อจำเป็นต้องประมวลผลข้อมูลเพื่อปฏิบัติตามคำขอของเจ้าของข้อมูลก่อนที่จะเข้าสู่การทำสัญญา
    • ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) : กรณีที่การประมวลผลข้อมูลมีความจำเป็นต่อการปกป้องประโยชน์สำคัญของเจ้าของข้อมูลหรือบุคคลอื่น เช่น ป้องกันอันตรายร้ายแรงอันอาจเกิดต่อสุขภาพและชีวิตด้วยการประมวลผลข้อมูลสุขภาพหรือข้อมูลอ่อนไหว (sensitive data) เป็นต้น
    • ฐานจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) : บริษัทอาจนำข้อมูลส่วนบุคคลไปใช้ในการประมวลผล การวิจัย หรือการจัดทำสถิติซึ่งเป็นไปตามวัตถุประสงค์ของการดำเนินงานของบริษัท การจัดทำรายงานการดำเนินงานภายในบริษัท การปรับปรุงคุณภาพของการให้บริการของบริษัท การจัดทำข่าวสารประชาสัมพันธ์ของบริษัท การวิเคราะห์ การวัดการทำงานของเว็บไซต์
    • ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) : บริษัทอาจต้องนำส่งข้อมูลส่วนบุคคลส่งมอบให้แก่พนักงานเจ้าหน้าที่หรือหน่วยงานรัฐที่มีอำนาจตามกฎหมายในการเรียกข้อมูลที่บริษัท ครองครองอยู่ได้ เช่น กรมสรรพากร สำนักงานคณะกรรมการคุ้มครองผู้บริโภค สำนักงานตำรวจแห่งชาติ สำนักงานอัยการ ศาล เป็นต้น
  • 5.1.2 การเก็บรวบรวมข้อมูลส่วนบุคคล

  บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลได้ภายในวัตถุประสงค์และเพียงเท่าที่จำเป็นตามกรอบวัตถุประสงค์ หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม โดยจะจัดทำประกาศความเป็นส่วนตัวเพื่อแจ้งให้เจ้าของข้อมูลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ถึงรายละเอียดดังต่อไปนี้

  • ก) วัตถุประสงค์ของการเก็บรวบรวม
  • ข) ช่องทางและแหล่งที่มาของข้อมูลส่วนบุคคล
  • ค) ข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวม
  • ง) กรณีที่เจ้าของข้อมูลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญา หรือเพื่อเข้าทำสัญญา โดยต้องแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบด้วย
  • จ) ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจถูกเปิดเผย
  • ฉ) สิทธิของเจ้าของข้อมูล
  • ช) มาตรการที่ใช้ในการรักษาความปลอดภัยของข้อมูลที่จัดเก็บ
  • ซ) ระยะเวลาที่ข้อมูลส่วนบุคคลจะถูกจัดเก็บ

  หมายเหตุ
  การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว เช่น เชื้อชาติ, ประวัติอาชญากรรม, ข้อมูลพันธุกรรม จำเป็นต้องมีการให้ความยินยอมที่ชัดเจนและเข้มงวด เช่น ได้รับความยินยอมโดยชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูลส่วนบุคคล

  • 5.1.3 การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล

    การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตามวัตถุประสงค์หรือเป็นการจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวม โดยการใช้หรือการเปิดเผยข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลที่ได้ให้ไว้ก่อนหรือในขณะนั้น เว้นแต่ในกรณีดังต่อไปนี้ ไม่จำเป็นต้องขอความยินยอม

    • ก) เพื่อประโยชน์เกี่ยวกับการวางแผนหรือสถิติหรือสำมะโนต่างๆ ของหน่วยงานรัฐ
    • ข) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
    • ค) เป็นข้อมูลที่เปิดเผยต่อสาธารณะโดยชอบด้วยกฎหมาย
    • ง) เพื่อประโยชน์แก่การสืบสวนของพนักงานเจ้าหน้าที่ตามกฎหมาย หรือการพิจารณาพิพากษาคดีของศาล
    • จ) เป็นการปฏิบัติตามที่กฎหมายกำหนด หรือตามคำสั่งศาล
• 5.2 บริษัท ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

  ในกรณีที่บริษัทอยู่ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) บริษัทจะต้องเข้าทำสัญญาประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กับผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) โดยมีเงื่อนไขของสัญญาดังต่อไปนี้

  • ก) วัตถุประสงค์ของการทำสัญญาประมวลผลข้อมูลส่วนบุคคล
  • ข) จุดมุ่งหมายของการประมวลผลข้อมูลส่วนบุคคล
  • ค) ระยะเวลาในการประมวลผลข้อมูล
  • ง) ประเภทของข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวมและประมวลผล
  • จ) การจำแนกประเภทของข้อมูลส่วนบุคคล
  • ฉ) หน้าที่และความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล
  • ช) หน้าที่และความรับผิดชอบของผู้ประมวลผลข้อมูลส่วนบุคคล
  • ซ) สิทธิของเจ้าของข้อมูลส่วนบุคคล
  • ฌ) การตรวจสอบการประมวลผลโดยผู้ควบคุมข้อมูลส่วนบุคคล
  • ญ) ผู้ประมวลผลข้อมูลตกลงว่าบุคคลใดๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลจะต้องอยู่ภายใต้สัญญาการเก็บรักษาข้อมูลอันความลับ
  • ฏ) ความรับผิดชอบและการชดใช้ค่าสินไหมทดแทนของผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล
  • ฏ) การเลิกสัญญา
  • ฐ) กฎหมายที่ใช้บังคับ

ข้อ 6. คุณภาพของข้อมูลส่วนบุคคล

บริษัทจะตรวจสอบคุณภาพของข้อมูลส่วนบุคคลที่เก็บรวบรวมให้มีความถูกต้อง สมบูรณ์ เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด เว้นแต่จะมีกฎหมายกำหนดไว้เป็นอย่างอื่น

ข้อ 7. ระยะเวลาในการเก็บข้อมูลส่วนบุคคล

บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลไว้ตราบเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูล ตามรายละเอียดที่ได้กำหนดไว้ในนโยบาย ประกาศความเป็นส่วนตัว หรือตามกฎหมายที่เกี่ยวข้อง โดยอาจจำเป็นต้องเก็บรักษาไว้ต่อไปภายหลังจากนั้นหากบริษัทมีภาระหน้าที่ต้องปฏิบัติตามกฎหมาย หรือในกรณีที่มีข้อพิพาท หรือการใช้สิทธิหรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคล โดยบริษัทจะเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด

ทั้งนี้ บริษัทจะจัดให้มีกระบวนการที่เหมาะสมเพื่อลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุถึงตัวตนของเจ้าของข้อมูลได้ เมื่อหมดความจำเป็นหรือสิ้นสุดระยะเวลาดังกล่าว

ข้อ 8. การรักษาความปลอดภัย

เพื่อประโยชน์ในการรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคล บริษัทได้กำหนดมาตรการไว้ดังต่อไปนี้

• 8.1 กำหนดสิทธิในการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล รวมถึงการแสดงหรือยืนยันตัวบุคคล ผู้เข้าถึงหรือใช้ข้อมูลส่วนบุคคล ตามนโยบายสารสนเทศของบริษัทอย่างเคร่งครัด
• 8.2 ในการส่งหรือการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (ถ้ามี) รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บบนฐานข้อมูลในระบบอื่นใด ซึ่งผู้ให้บริการรับโอนข้อมูลหรือบริการเก็บรักษาข้อมูลอยู่ต่างประเทศ ประเทศปลายทางที่เก็บรักษาข้อมูลต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่ากับหรือดีกว่ามาตรการตามนโยบายนี้
• 8.3 ในกรณีที่มีการฝ่าฝืนมาตรการรักษาความมั่นคงปลอดภัยของบริษัท จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคล หรือข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ บริษัทจะดำเนินการแจ้งเจ้าของข้อมูลให้ทราบโดยเร็ว รวมทั้งแจ้งแผนเยียวยาความเสียหายจากการละเมิดหรือการรั่วไหลของข้อมูลส่วนบุคคลสู่สาธารณะ (ในกรณีที่เกิดจากความบกพร่องของบริษัท) ทั้งนี้ บริษัทจะไม่รับผิดชอบในกรณีความเสียหายใดๆ อันเกิดจากการใช้หรือการเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่สาม รวมถึงการละเลย หรือเพิกเฉยการออกจากระบบ (log out) ฐานข้อมูล หรือระบบสื่อสารสังคมออนไลน์ของบริษัท โดยการกระทำของเจ้าของข้อมูล หรือบุคคลอื่นซึ่งได้รับความยินยอมจากเจ้าของข้อมูล

ข้อ 9. ความรับผิดชอบของบุคคล

บริษัทกำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด โดยมีหน่วยงานกฎหมายและกำกับดูแลการปฏิบัติตามกฎหมาย (Legal and Compliance Department) ซึ่งทำหน้าที่กำกับดูแลภาพรวมตามนโยบายให้เป็นไปอย่างมีประสิทธิผล

ข้อ 10. สิทธิของเจ้าของข้อมูล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังนี้

• 10.1 สิทธิขอเพิกถอนความยินยอม หากเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมแก่บริษัทในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล (ไม่ว่าจะเป็นความยินยอมที่เจ้าของข้อมูลให้ไว้ก่อนวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับหรือหลังจากนั้น) เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลอยู่กับบริษัท เว้นแต่มีข้อจำกัดสิทธินั้นโดยกฎหมายหรือมีสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลอยู่ โดยบริษัทจะแจ้งถึงผลกระทบที่อาจเกิดขึ้นจากการถอนความยินยอมดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลทราบ
  

  การถอนความยินยอมจะไม่กระทบต่อความชอบด้วยกฎหมายของการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อนของเจ้าของข้อมูลส่วนบุคคลก่อนที่จะขอถอนความยินยอม หรือการเก็บรวบรวม การใช้ การเปิดเผย และการโอนข้อมูลที่ละเอียดไปยังบุคคลภายนอกหรือโอนไปยังผู้รับในต่างประเทศ (ถ้ามี) ที่บริษัทมีสิทธิดำเนินการได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

• 10.2 สิทธิขอเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงหรือขอรับสำเนาซึ่งข้อมูลส่วนบุคคลของตนที่อยู่ในความรับผิดชอบของบริษัทรวมถึงขอให้บริษัทเปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม ทั้งนี้ บริษัทมีสิทธิปฏิเสธคำร้องขอ หากการเข้าถึงหรือขอรับสำเนานั้นส่งผลกระทบต่อสิทธิเสรีภาพของบุคคลอื่น หรือกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลดังกล่าว

• 10.3 สิทธิขอโอนย้ายข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น

• 10.4 สิทธิขอคัดค้านการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอคัดค้านการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลในเวลาใดก็ได้ หากเป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง หรือเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ สถิติ ทั้งนี้บริษัทสามารถปฏิเสธคำร้องขอได้หากเป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท หรือกรณีที่บริษัทแสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายสำคัญยิ่งกว่า หรือเพื่อก่อตั้ง การใช้สิทธิเรียกร้อง การปฏิบัติตามกฎหมาย

• 10.5 สิทธิขอให้ลบหรือทำลายข้อมูล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ หากเจ้าของข้อมูลส่วนบุคคลเชื่อว่าข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ และ/หรือเปิดเผยนั้นไม่ชอบด้วยกฎหมาย หรือเห็นว่าบริษัทไม่มีความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่เกี่ยวข้องในนโยบายฉบับนี้ หรือเมื่อเจ้าของข้อมูลได้ใช้สิทธิขอถอนความยินยอมหรือใช้สิทธิขอคัดค้านตามที่แจ้งไว้ข้างต้น ทั้งนี้ บริษัทอาจปฏิเสธคำร้องขอดังกล่าวหากข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ลบนั้นจำเป็นต้องเก็บรวบรวมตามระยะเวลาที่กฎหมายกำหนด หรือเป็นข้อมูลที่จำเป็นต่อการดำเนินการของบริษัท

• 10.6 สิทธิขอให้ระงับการใช้ข้อมูล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลชั่วคราว ในกรณีที่บริษัทอยู่ระหว่างตรวจสอบตามคำร้องขอใช้สิทธิขอแก้ไขข้อมูลส่วนบุคคลหรือขอคัดค้าน หรือกรณีอื่นใดที่บริษัทไม่มีความจำเป็นและต้องลบหรือทำลายข้อมูลส่วนบุคคลตามกฎหมายที่เกี่ยวข้อง

• 10.7 สิทธิขอให้แก้ไขข้อมูล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้ถูกต้องหากข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนั้นไม่ถูกต้อง ไม่เป็นปัจจุบัน ไม่ครบถ้วนสมบูรณ์ หรือก่อให้เกิดความเข้าใจผิด

• 10.8 สิทธิในการยื่นข้อร้องเรียน ในกรณีที่บริษัทมีการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นข้อร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย

บริษัทจะใช้ความพยายามอย่างดีที่สุดที่จะดำเนินการตามการร้องขอของเจ้าของข้อมูล ภายในระยะเวลาที่สมเหตุสมผลและไม่เกินระยะเวลาที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด ทั้งนี้ ในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่ระบุไว้ในข้อ 10.1 ถึง 10.8 ข้างต้น เป็นสิทธิที่มีข้อจำกัดตามกฎหมายที่เกี่ยวข้อง ซึ่งบริษัทอาจปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้หากบริษัทมีเหตุโดยชอบด้วยกฎหมายในการปฏิเสธการใช้สิทธิดังกล่าว

อย่างไรก็ตาม การใช้สิทธิในฐานะเจ้าของข้อมูลส่วนบุคคลตามที่ระบุไว้ในเอกสารฉบับนี้ ย่อมจำกัดไว้แต่เพียงแต่การให้บริการพื้นฐานที่ไม่ทำให้บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเกิดค่าใช้จ่ายที่เกินความจำเป็น หากการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ก่อให้เกิดค่าธรรมเนียม ค่าใช้จ่ายเพื่อการดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลจะต้องรับผิดชดใช้คืนเงินค่าดำเนินการต่าง ๆ ที่มีการขอใช้สิทธิเช่นว่านั้นแก่บริษัท

ข้อ 11. บุคคลที่ได้รับอนุญาตให้เข้าถึงข้อมูลส่วนบุคคล

เฉพาะเจ้าหน้าที่ของบริษัทหรือบุคคลที่บริษัทมอบหมายให้มีหน้าที่หรือความรับผิดชอบเกี่ยวข้องกับวัตถุประสงค์การใช้ข้อมูลส่วนบุคคลหรือเพื่อปฏิบัติตามกฎหมายเท่านั้นที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้

ข้อ 12. การเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก

บริษัทอาจเปิดเผยหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังบุคคลภายนอกทั้งภายในประเทศหรือหรือต่างประเทศ (ถ้ามี) เท่าที่จำเป็นเพื่อให้เป็นไปตามวัตถุประสงค์และฐานในการประมวลผลเท่านั้น เช่น บริษัทในเครือ พนักงานและบริษัทที่บริษัทได้ว่าจ้างให้ดำเนินการในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล พันธมิตรทางธุรกิจ ที่ปรึกษากฎหมาย ทนายความ ผู้ตรวจสอบบัญชี รวมถึงหน่วยงานของรัฐที่มีอำนาจในการขอข้อมูลส่วนบุคคล เช่น สำนักงานตำรวจแห่งชาติ สำนักงานอัยการ ศาล เป็นต้น หรือเจ้าหน้าที่ของรัฐที่มีอำนาจในการขอข้อมูลส่วนบุคคล เช่น พนักงานสอบสวน อัยการ เป็นต้น และอาจเป็นการเปิดเผยให้หน่วยงานของรัฐและเจ้าหน้าที่ของรัฐเพื่อประโยชน์ในการดำเนินคดีของบริษัทเอง

กรณีที่บริษัทอาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการ เช่น ส่งข้อมูลไปยังระบบคลาวด์ (Cloud) ที่มีแพลตฟอร์มหรือเครื่องมือแม่ข่ายอยู่ต่างประเทศ เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย บริษัทจะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล หรือดำเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย

ข้อ 13. รายละเอียดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

หากมีเหตุร้องเรียนเกี่ยวกับข้อมูลส่วนบุคคล สามารถติดต่อประสานงานมายังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ในช่องทางดังนี้

• 13.1 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
  ชื่อ: บริษัท เอสเทติก อานเซอร์ จำกัด
  สถานที่ติดต่อ: เลขที่ 126/19-20 ซอยสุขุมวิท 63 (เอกมัย) แขวงคลองตันเหนือ
  เขตวัฒนา กรุงเทพมหานคร
  ช่องทางการติดต่อ: โทรศัพท์ 023812651
  e-mail address: dpo@slc-group.com
• 13.2 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)
  ชื่อ: พิมลภา อัครนิธิพลชัย
  สถานที่ติดต่อ: เลขที่ 126/19-20 ซอยสุขุมวิท 63 (เอกมัย) แขวงคลองตันเหนือ
  เขตวัฒนา กรุงเทพมหานคร
  ช่องทางการติดต่อ: โทรศัพท์ 023812651
  e-mail address: dpo@slc-group.com

ทั้งนี้ หากเจ้าของข้อมูลส่วนบุคคลประสงค์จะขอใช้สิทธิอย่างใดอย่างหนึ่งข้างต้นตามข้อ 10 สามารถติดต่อบริษัทตามรายละเอียดการติดต่อข้างต้น หรือกรอก “แบบคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right Request Form)”

ข้อ 14. บทกำหนดโทษ

ผู้มีหน้าที่รับผิดชอบในการดำเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของตน หากละเลย หรือละเว้นไม่สั่งการ หรือไม่ดำเนินการ หรือสั่งการ หรือดำเนินการอย่างใดอย่างหนึ่ง อันเป็นการฝ่าฝืนนโยบายและแนวปฏิบัติเกี่ยวกับเรื่องข้อมูลส่วนบุคคล จนเป็นเหตุให้เกิดความผิดตามกฎหมาย และ/หรือความเสียหายขึ้น ถือเป็นความผิดส่วนบุคคลและต้องรับโทษทางวินัยตามระเบียบของบริษัท (กรณีพนักงาน) หรือตามข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (กรณีผู้ประมวลผลข้อมูลส่วนบุคคล)

บริษัทจะไม่ประนีประนอมให้กับความผิดใดๆ ที่ผู้มีหน้าที่รับผิดชอบได้กระทำขึ้น และผู้นั้นต้องรับผิดชอบต่อความเสียหายและโทษทางกฎหมายจากความผิดที่เกิดขึ้น ตามที่กำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งกฎหมายลำดับรอง กฎ ระเบียบ คำสั่ง และกฎหมายอื่นที่เกี่ยวข้อง (หากมี)

ข้อ 15. การทบทวนนโยบาย

บริษัทจะทำการทบทวนหรือปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ อย่างน้อยปีละ 1 ครั้ง เพื่อให้สอดคล้องกับกฎหมายที่เกี่ยวข้องและเทคโนโลยีที่เปลี่ยนแปลงไป ทั้งนี้ เพื่อให้สามารถบังคับใช้ได้อย่างเหมาะสมกับสถานการณ์และสอดคล้องกับแนวปฏิบัติหรือข้อบังคับทางกฎหมายที่เปลี่ยนแปลงไปนั้น รวมทั้งเพื่อเพิ่มประสิทธิภาพในการให้บริการแก่บุคคลที่มีส่วนเกี่ยวข้องกับบริษัท

ประกาศ ณ วันที่ 1 ธันวาคม 2566 และให้มีผลตั้งแต่วันที่ประกาศเป็นต้นไป

ปรับปรุงล่าสุด: วันที่ 1 พฤศจิกายน 2567