“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

1. ขอบเขตการบังคับใช้นโยบาย
2. การคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ครอบคลุมการประมวลผลข้อมูลทั้งหมด ตั้งแต่การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูล ตลอดจนถึงการลบหรือทำลายข้อมูล
3. นโยบายการคุ้มครองข้อมูลส่วนบุคคลจะทำการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ทุกคน อาทิ ลูกค้า คู่ค้า ผู้รับจ้างเหมาบริการ พนักงาน เป็นต้น

นโยบายฉบับนี้จัดทำขึ้นบนหลักการพื้นฐานของการคุ้มครองข้อมูลส่วนบุคคล และกำหนดเป็นแนวทางในการคุ้มครองข้อมูลส่วนบุคคล 7 ข้อ ดังนี้

1. การปฏิบัติที่เป็นไปตามกฎหมาย มีความเป็นธรรม และโปร่งใส (Lawfulness, fairness and transparency)
2. การประมวลผลข้อมูลตามวัตถุประสงค์ที่จำกัด ชัดเจน ไม่กระทำเกินกว่าที่กำหนดไว้ (Purpose limitation)
3. การจัดเก็บข้อมูลเฉพาะที่จำเป็นตามวัตถุประสงค์กำหนด (Data minimization)
4. ข้อมูลที่ประมวลผลมีความถูกต้อง เป็นปัจจุบัน (Accuracy)
5. การจัดเก็บข้อมูลไว้เท่าที่จำเป็น เมื่อสิ้นสุดความจำเป็นจะดำเนินการลบหรือทำลายข้อมูล (Storage limitation)
6. การดำเนินการคุ้มครองข้อมูลให้มีความมั่นคง ปลอดภัย และไม่มีการละเมิดข้อมูล (Integrity and confidentially)
7. การดำเนินการบนพื้นฐานของความรับผิดชอบต่อข้อมูล (Accountability)

บริษัทจะดำเนินการประมวลผลข้อมูลตามวัตถุประสงค์ที่จำกัด และมีความชัดเจน

1. 1. การเก็บรวบรวมข้อมูลจะดำเนินการตามวัตถุประสงค์ที่กำหนดเท่านั้น และจะต้องมีการแจ้งวัตถุประสงค์การเก็บรวบรวมให้เจ้าของข้อมูลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูล
   2. วัตถุประสงค์การเก็บรวบรวมข้อมูลของเจ้าของข้อมูลแต่ละประเภทจะระบุไว้ในระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่บริษัทกำหนดไว้

กรณีที่บริษัทมีการเก็บรวบรวมข้อมูลนอกเหนือจากวัตถุประสงค์ที่กำหนดไว้ระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลที่กำหนดไว้ บริษัทจะแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ ข้อมูลที่จัดเก็บรวบรวม และข้อมูลที่ใช้หรือเปิดเผยให้บุคคลอื่นก่อนหรือขณะที่ทำการเก็บข้อมูล

1. ประเภทของข้อมูล

   บริษัทจะเก็บรวบรวมข้อมูลตามวัตถุประสงค์ที่กำหนด โดยแบ่งประเภทของข้อมูลตามประเภทของเจ้าของข้อมูล และระบุประเภทของข้อมูลที่เก็บรวบรวมไว้ในระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลแต่ละประเภท เช่น ข้อมูลยืนยันตัวตนหรือเฉพาะบุคคลของพนักงาน อาทิ ชื่อ นามสกุล เลขที่บัตรประชาชน ที่อยู่ เบอร์โทรศัพท์ เบอร์บัญชีธนาคารในการจ่ายเงินเดือน เป็นต้น รวมถึงการแจ้งประเภทและข้อมูลที่จะเก็บข้อมูลให้กับเจ้าของข้อมูลทราบในหนังสือแจ้งการคุ้มครองข้อมูลส่วนบุคคล

2. ข้อมูลส่วนบุคคลของผู้เยาว์ หรือผู้ไร้ความสามารถ

   บริษัทจะไม่เก็บรวบรวมข้อมูลของผู้เยาว์ หรือผู้ไร้ความสามารถโดยไม่ได้รับความยินยอมจากผู้ปกครอง หรือผู้อนุบาล ยกเว้นตามที่กฎหมายกำหนดให้ผู้เยาว์อาจให้ความยินยอมโดยลำพังได้ตามที่บัญญัติไว้ในมาตรา 22 มาตรา 23 หรือมาตรา 24 แห่งประมวลกฎหมายแพ่งและพาณิชย์

3. การเก็บรวบรวมข้อมูล

   การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทำภายใต้วัตถุประสงค์ และเพียงเท่าที่จำเป็นตามกรอบวัตถุประสงค์ หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม โดยต้องแจ้งวัตถุประสงค์ให้เจ้าของข้อมูลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูล

   การเก็บรวบรวมข้อมูลจะต้องได้รับความยินยอมจากเจ้าของข้อมูล ยกเว้นตามที่กฎหมายกำหนดให้กระทำได้ เช่น ข้อมูลทั่วไปที่ไม่ต้องได้รับความยินยอมเป็นไปตามฐานสัญญา หรือเป็นไปตามที่กฎหมายกำหนด อาทิ การส่งข้อมูลการจ่ายค่าจ้างให้กรมสรรพากร เป็นต้น หรือหากเป็นข้อมูลอ่อนไหวที่ไม่ต้องได้รับความยินยอมตามฐานความจำเป็นเพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ เช่น ข้อมูลสุขภาพในการป้องกันโรคติดต่อ เป็นต้น

   บริษัทจะทำการเก็บรวบรวมข้อมูลโดยตรงจากเจ้าของข้อมูลเท่านั้น ยกเว้นตามที่กฎหมายกำหนดให้กระทำได้

4. การใช้หรือเปิดเผยข้อมูล

   การใช้หรือเปิดเผยข้อมูลส่วนบุคคล ต้องดำเนินการให้เป็นไปตามวัตถุประสงค์หรือมีความจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวม และต้องได้รับความยินยอมจากเจ้าของข้อมูลที่ให้ไว้ก่อนหรือขณะนั้นยกเว้นตามที่กฎหมายกำหนด เช่น เป็นข้อมูลที่เปิดเผยต่อสาธารณะโดยชอบด้วยกฎหมาย เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคล เป็นต้น

5. การส่งต่อข้อมูล

   บริษัทไม่มีการส่งหรือโอนข้อมูลไปต่างประเทศ แต่หากกรณีที่บริษัทจะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ บริษัทจะทำการประเมินประเทศปลายทางให้มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

6. การลบหรือทำลายข้อมูล

   บริษัทจะกำหนดระยะเวลาการลบหรือทำลายข้อมูลแต่ละประเภทไว้ในระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล และกำหนดมาตรการที่เหมาะสมในการควบคุมการลบข้อมูลให้เป็นไปตามที่กำหนด

7. การจ้างประมวลผล

   บริษัทจะกำหนดแนวปฏิบัติในการควบคุมให้ผู้รับจ้างประมวลผลให้มีการคุ้มครองข้อมูลส่วนบุคคลไม่น้อยกว่ามาตรการที่บริษัทกำหนด

   กรณีที่บริษัทมีการจ้างผู้อื่นมาเป็นผู้ประมวลข้อมูลส่วนบุคคล บริษัทจะพิจารณาจัดทำสัญญาการประมวลผล เพื่อใช้ในการควบคุมการจ้างประมวลผลข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครองตามที่กำหนด

บริษัทจะกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลตามระดับความเสี่ยงของข้อมูล ทั้งข้อมูลที่เป็นเอกสาร และข้อมูลที่เป็นข้อมูลอิเล็กทรอนิกส์ โดยอย่างน้อยต้องมีการกำหนดการเข้าถึงข้อมูลส่วนบุคคลนั้นๆ (Access control) เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และบริษัทจะจัดให้มีการจัดการให้ข้อมูลมีความถูกต้อง และเป็นปัจจุบัน

1. บริษัทจะกำหนดมาตรการในการตรวจสอบระบบในการคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลยังคงได้รับการคุ้มครองให้มีความปลอดภัย
2. บริษัทจะกำหนดแนวปฏิบัติในการการจัดการการละเมิดเพื่อให้มั่นใจว่าการละเมิดนั้นจะได้รับการแก้ไขโดยเร็วที่สุด โดยมีการกำหนดผู้รับผิดชอบดูแลจัดการการละเมิด
3. หากเกิดการละเมิดข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมไว้ บริษัทจะแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยา

บริษัทมีหน้าที่ในการรับรองและคุ้มครองสิทธิดังต่อไปนี้ของเจ้าของข้อมูล

1. สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของบริษัท หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
2. สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากบริษัทได้
3. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้
4. สิทธิขอให้บริษัทดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
5. สิทธิขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลได้
6. สิทธิในการร้องขอให้มีการทำให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

บริษัทได้กำหนดระเบียบปฏิบัติในการบริหารจัดการขอใช้สิทธิ ทั้งกระบวนการตั้งแต่การขอใช้ การพิสูจน์ตัวตน การพิจารณาอนุมัติ และการแจ้งผลการดำเนินการ เพื่อให้มั่นใจว่าเจ้าของข้อมูลจะสามารถใช้สิทธิของตนได้ตามที่เจตนา รายละเอียดตามระเบียบปฏิบัติการขอใช้สิทธิของเจ้าของข้อมูลตามที่บริษัทกำหนด

กรณีที่ท่านพบว่าบริษัทไม่ได้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านสามารถร้องเรียนมาที่บริษัทตามช่องทางการติดต่อที่กำหนดไว้ในข้อ 14 ของนโยบายฉบับนี้

บริษัทจะจัดทำ ข้อกำหนด หรือระเบียบปฏิบัติภายใต้นโยบายนี้ เพื่อใช้เป็นแนวทางให้พนักงานของบริษัทปฏิบัติตาม และควบคุมการปฏิบัติงานของพนักงานให้เป็นไปตามที่กฎหมายกำหนด

พนักงานที่ฝ่าฝืน ไม่ปฏิบัติตามนโยบาย ข้อกำหนด และระเบียบปฏิบัติ รวมถึงกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้มีความผิดทางวินัย และหากเป็นความทางกฎหมายให้มีความผิดตามกฎหมายด้วย

บริษัทจะพิจารณาแก้ไขปรับปรุงนโยบาย ตลอดจนข้อกำหนด ระเบียบปฏิบัติ และแบบฟอร์มต่างๆ โดยคำนึงถึงความถูกต้อง เหมาะสม เพียงพอ และประสิทธิภาพของการคุ้มครองข้อมูลส่วนบุคคล และจะทำการแจ้งให้ทราบผ่านช่องทางเว็บไซต์ของบริษัท

เจ้าของข้อมูล หรือผู้ร้องเรียน สามารถติดต่อบริษัทในเรื่องข้อมูลส่วนบุคคลได้โดยแจ้งที่ บริษัท พัมคิน คอร์ปอเรชัน จำกัด เลขที่ 4 ซอยพระรามที่ 2 ซอย 54 แยก 4-13 แขวงแสมดำ เขตบางขุนเทียน กรุงเทพฯ 10150 เบอร์โทร 02 899 5928 Email: pdpa@pumpkin.co.th