นโยบายคุ้มครองข้อมูลส่วนบุคคล
1. หลักการและเหตุผล
ด้วยความก้าวหน้าของเทคโนโลยีสารสนเทศ รวมทั้งระบบสื่อสารได้พัฒนาไปอย่างรวดเร็ว ทําให้การเข้าถึงการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล สามารถทําได้โดยง่าย สะดวก และรวดเร็ว อันอาจนํามาซึ่งความเสียหายต่อเจ้าของข้อมูล ประกอบกับได้มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 แล้วนั้น
บริษัท โอเพน ซอร์ส เทคโนโลยี จำกัด ได้ตระหนักถึงความสําคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ซึ่งเป็นสิทธิขั้นพื้นฐานสําคัญในความเป็นส่วนตัว (Privacy Right) ที่ต้องได้รับความคุ้มครองตามรัฐธรรมนูญแห่งราชอาณาจักรไทย และหลักปฏิญญาสากลว่าด้วยสิทธิมนุษยชน (Universal Declaration of Human Rights) ซึ่งบุคคลใดจะถูกแทรกแซงตามอําเภอใจในความเป็นส่วนตัว ครอบครัว ที่อยู่อาศัย หรือการสื่อสาร หรือจะถูกลบหลู่เกียรติยศและชื่อเสียงไม่ได้ ทุกคนมีสิทธิที่จะได้รับความคุ้มครองตามกฏหมายต่อการแทรกแซงสิทธิหรือการลบหลู่ดังกล่าวนั้น รวมถึงเพื่อสนับสนุนและเคารพการปกป้องสิทธิมนุษยชนตามที่ประกาศใช้ในระดับสากล ตามหลักการของข้อตกลงโลกแห่งสหประชาชาติ (UN Global Compact) รวมถึงตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทจึงได้ประกาศนโยบายเพื่อเป็นหลักในการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ดังนี้
2. วัตถุประสงค์
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ จัดทําขึ้นโดยมีวัตถุประสงค์ ดังต่อไปนี้
2.1 เพื่อคุ้มครองข้อมูลส่วนของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นบุคคลธรรมดาซึ่งทําธุรกรรม ใช้บริการ มีส่วนได้ส่วนเสีย หรือที่มีส่วนเกี่ยวข้องกับบริษัท ได้แก่แต่ไม่จํากัดเพียงบุคคลดังต่อไปนี้
ก. ลูกค้า
ข. พนักงาน
ค. ผู้ถือหุ้น
ง. นักลงทุน เจ้าหนี้ ลูกหนี้
จ. คู่ค้า พันธมิตรทางธุรกิจ
ฉ. บุคคลที่บริษัทได้ว่าจ้างให้ดําเนินงานตามวัตถุประสงค์ของบริษัท เช่น ที่ปรึกษาด้านวิชาชีพ ผู้ให้บริการด้านระบบเทคโนโลยีสารสนเทศ เป็นต้น
ช. บุคคลที่เข้าชมเว็บไซต์หรือแอปพลิเคชันของบริษัท
ซ. บุคคลที่เข้ามาติดต่อหรือใช้บริการสํานักงาน อาคารหรือสถานที่ของบริษัท
ณ. ครอบครัวพนักงาน ผู้รับผลประโยชน์ตามกรมธรรม์ประกันชีวิต ประกันวินาศภัยที่บริษัทได้จัดทําให้
ญ. บุคคลที่ถูกอ้างอิง เช่น บุคคลที่ถูกอ้างอิงในการสมัครงาน การเสนอขายสินค้าและบริการกับบริษัท เป็นต้น
2.2 เพื่อกําหนดบทบาทหน้าที่ ของหน่วยงาน ผู้บริหาร พนักงาน ซึ่งมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล
2.3 เพื่อกําหนดขั้นตอนหรือมาตรการรักษาความปลอดภัยในการคุ้มครองข้อมูลส่วนบุคคล
2.4 เพื่อกําหนดแนวทางในการปฏิบัติงานของพนักงานซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล
2.5 เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ต่อเจ้าของข้อมูลส่วนบุคคล
3. ขอบเขตการใช้
3.1 ให้ประกาศฉบับนี้ มีผลใช้บังคับกับคณะกรรมการ กรรมการ ผู้บริหาร และพนักงานทุกระดับของ
บริษัท โอเพน ซอร์ส เทคโนโลยี จำกัด และบริษัทย่อย รวมถึงคู่ค้า ผู้ให้บริการ และผู้มีส่วนได้ส่วนเสียกับบริษัท โดยใช้บังคับกับ
ทุกกิจกรรมการดําเนินงานของบริษัทที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
4. คํานิยาม
“บริษัท” หมายความว่า บริษัท โอเพน ซอร์ส เทคโนโลยี จำกัด
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทําให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทําให้สามารถระบุตัวบุคคลนั้นได้ไม่ ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม หมายความว่า ข้อมูลส่วนบุคคลที่มีความเสี่ยงอาจถูกนําไปสู่การเลือกปฏิบัติ อย่างไม่เป็นธรรม (Sensitive Data) ในที่นี้หมายถึง เชื้อชาติ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูล พันธุกรรม ข้อมูลชีวภาพ หรืออื่นๆ ตามที่กฎหมายกําหนด
“เจ้าของข้อมูลส่วนบุคคล” หมายความว่า บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล เป็นต้นว่า ลูกค้า คู่ค้า ผู้ใช้บริการและพนักงาน
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอํานาจหน้าที่ตัดสินใจเกี่ยวกับ การ เก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในที่นี้หมายถึง บริษัท หน่วยงาน พนักงานที่รับผิดชอบในข้อมูลส่วนบุคคลนั้น
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดําเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ในที่นี้หมายถึง คู่ค้า บุคคลหรือบริษัทภายนอกที่บริษัทได้ว่าจ้าง
“บุคคล” หมายความว่า บุคคลธรรมดา
“บุคคลผู้หย่อนความสามารถ” หมายความว่า บุคคลซึ่งเป็นผู้เยาว์ เป็นคนไร้ความสามารถ หรือเสมือนไร้ ความสามารถตามประมวลกฎหมายแพ่งและพาณิชย์
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายความว่า บุคคลซึ่งบริษัทแต่งตั้งให้ทําหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วน (Data Protection Officer: DPO) บุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“ผู้ประสานงานข้อมูลส่วนบุคคล” หมายความว่า บุคคล ซึ่งถูกกําหนดหรือได้รับมอบหมายตามนโยบายฉบับนี้ (Data Protection Coordinator: DPC)
5. การคุ้มครองข้อมูลส่วนบุคคล
5.1 การเก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทําได้ภายใต้วัตถุประสงค์และเท่าที่จําเป็นตามกรอบวัตถุประสงค์ หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคล ทราบก่อนหรือในขณะเก็บรวบรวม ถึงรายละเอียดดังต่อไปนี้
1) วัตถุประสงค์ของการเก็บรวบรวม
2) ระยะเวลาในการเก็บรวบรวมไว้
3) ประเภทของบุคคลหรือหน่วยงานซึ่งอาจมีการเปิดเผยข้อมูลส่วนบุคคล
4) ข้อมูลหรือช่องทางการติดต่อกับบริษัท
5) สิทธิของเจ้าของข้อมูลส่วนบุคคล
6) แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคล ตามที่
กฎหมายกําหนด หรือเพื่อเข้าทําหรือปฏิบัติตามสัญญา
ทั้งนี้ เว้นแต่ในกรณีดังต่อไปนี้ ไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ก) เพื่อประโยชน์สาธารณะ การศึกษาวิจัย การสถิติ หรือการปฏิบัติตามกฎหมาย
ข) เป็นการดําเนินการเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล
ค) เป็นการจําเป็นเพื่อปฏิบัติตามสัญญาหรือเพื่อใช้ในการดําเนินการตามคําขอของเจ้าของข้อมูลส่วนบุคคล ก่อนเข้าทําสัญญานั้น
ง) เป็นการจําเป็นตามหน้าที่ในการดําเนินการเพื่อประโยชน์สาธารณะหรือในการปฏิบัติหน้าที่ตามที่ได้รับมอบหมายจากภาครัฐ หรือเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคล อื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งประโยชน์โดยชอบด้วยกฎหมายนั้นมีความสําคัญมากกว่าสิทธิขั้นพื้นฐานของ เจ้าของข้อมูลส่วนบุคคล
5.2 การเก็บรวบรวมข้อมูลส่วนบุคคลของผู้หย่อนความความสามารถการเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ เพื่อดําเนินการตามวัตถุประสงค์ใดๆ ซึ่งผู้เยาว์ไม่อาจดําเนินการเองได้โดยลําพังตามที่ประมวลกฎหมายแพ่งและพาณิชย์กําหนดไว้ ต้องได้รับความยินยอมจากผู้ใช้อํานาจปกครองหรือผู้ทําการแทนผู้เยาว์ด้วย เว้นแต่กรณีผู้เยาว์อายุไม่เกิน 10 ปี ต้องได้รับความยินยอมจากผู้ใช้อํานาจ ปกครองหรือผู้การแทนผู้เยาว์เท่านั้น
การเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลเป็นบุคคลไร้ความสามารถหรือเสมือนไร้ความสามารถ ต้องได้รับความยินยอมจากผู้อนุบาลหรือจากผู้พิทักษ์ หรือบุคคลผู้ทําการแทนเท่านั้น
5.3 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) บริษัทจะไม่เก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เว้นแต่มีความจําเป็นต้องเก็บรวบรวม โดยต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ยกเว้นในกรณีที่กฎหมายกําหนดให้สามารถเก็บ รวบรวมได้โดยไม่ต้องขอความยินยอม
5.4 การใช้และหรือการเปิดเผยข้อมูลส่วนบุคคล การใช้และ/หรือการเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคล ก่อนหรือในขณะทําการเก็บรวบรวม หรือเป็นการจําเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บ รวบรวม
ข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายกําหนดให้ไม่ต้อง ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมาย
บุคคลหรือนิติบุคคลอื่น ซึ่งได้รับข้อมูลส่วนบุคคลจากการที่เจ้าของข้อมูลส่วนบุคคลตกลงยินยอมให้เปิดเผย หรือเป็นผู้
ประมวลผลข้อมูลส่วนบุคคล ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ซึ่งเจ้าของข้อมูลส่วนบุคคลได้ตกลง ยินยอมให้ไว้กับบริษัทและตามที่บุคคลหรือนิติบุคคลนั้นได้แจ้งไว้กับบริษัทเท่านั้น
6. คุณภาพของข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น ต้องถูกต้องเป็นปัจจุบัน สมบูรณ์ ไม่ก่อให้เกิดความเข้าใจผิด และต้องดําเนินการจัดให้มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลสามารถร้องขอหรือแก้ไขข้อมูลส่วนบุคคลของตัวเองได้
7. บทบาทหน้าที่และความรับผิดชอบ
บริษัทกําหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องให้ความสําคัญและรับผิดชอบใน การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัท อย่างเคร่งครัดโดยกําหนดให้บุคคลหรือหน่วยงานดังต่อไปนี้ ทําหน้าที่กํากับและตรวจสอบให้การดําเนินงานของบริษัทนั้น ถูกต้องและเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด
7.1 ผู้ควบคุมข้อมูลส่วนบุคคล
7.1.1 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม และทบทวนมาตรการอย่างสม่ำเสมอเพื่อให้มาตรการดังกล่าวมีประสิทธิภาพ ทันต่อเทคโนโลยีที่เปลี่ยนแปลงไป
7.1.2 กำหนดขอบเขตการจัดการกับข้อมูลส่วนบุคคลที่ได้เปิดเผยต่อบุคคลหรือนิติบุคคลอื่น
7.1.3 จัดให้มีระบบตรวจสอบการจัดการกับข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด
7.1.4 บันทึกรายการเกี่ยวกับข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
7.1.5 จัดทำข้อตกลงกับผู้ประมวลผลข้อมูลส่วนบุคคล นิติบุคคลหรือบุคคลภายนอกอื่นใด หากมีการ เปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคลที่ได้ว่าจ้าง นิติบุคคลหรือบุคคลภายนอกอื่นใด โดยผู้ประมวลผลข้อมูลนิติบุคคล หรือบุคคลภายนอกดังกล่าว ต้องมีมาตรการรักษาความปลอดภัยในการเก็บรวบรวม ใช้ และ/ หรือเปิดเผยข้อมูลส่วนบุคคลต้องเป็นไปตามนโยบายฉบับนี้ และตามพระราชบัญญัติคุมครองข้อมูลส่วนบุคคล พ.ศ. 2562
7.2 ผู้ประมวลข้อมูลส่วนบุคคล
7.2.1 ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ ควบคุมข้อมูลส่วนบุคคล
7.2.2 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม
7.2.3 จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้
7.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection officer)
7.3.1 จัดทำและทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล รวมถึงแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล ของบริษัทให้ครบถ้วนและถูกต้องตามที่กฎหมายกำหนด
7.3.2 ให้คำแนะนําในด้านต่างๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่ผู้บริหาร พนักงาน และคู่ค้าของบริษัท
7.3.3 ตรวจตราการดําเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล
7.3.4 กำกับดูแลหน่วยงานต่างๆ ของบริษัท และคู่ค้าของบริษัทให้ดําเนินงานตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
7.3.5 รายงานการปฏิบัติหน่วยงานต่างๆ ของบริษัท และคู่ค้าของบริษัทต่อคณะเจ้าหน้าที่บริหาร
7.3.6 ประสานจัดการเรื่องร้องเรียนหรือการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลที่ได้รับการติดต่อหรือร้องขอจากเจ้าของข้อมูลส่วนบุคคล
7.3.7 ประสานงานและให้ความร่วมมือกับสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท และคู่ค้าของบริษัท
7.3.8 แจ้งต่อสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถทําได้
7.4 สํานักกฎหมาย กลุ่มธุรกิจฯ
7.4.1 ให้คําปรึกษา แนะนํา และให้ความเห็นเกี่ยวกับการดําเนินงานให้ถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
7.4.2 ตรวจสอบ/จัดทําเอกสาร สัญญาที่เกี่ยวข้องให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
7.5 หน่วยงาน Risk Management
7.5.1 ค้นหาและระบุความเสี่ยงในกิจกรรมหรือการดําเนินงานของหน่วยงานต่างๆ ของบริษัทที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล
7.5.2 ประเมินความเสี่ยงโดยการกําหนดระดับความเสี่ยงของแต่ละกิจกรรมหรือการดําเนินงาน และระบุความเสี่ยงคงเหลือที่ยอมรับได้ (Risk Appetite)
7.5.3 ติดตามให้แต่ละหน่วยงานดําเนินงานให้อยู่ในความเสี่ยงคงเหลือที่ยอมรับได้
7.5.4 ทบทวนระดับความเสี่ยงของกิจกรรมหรือการดําเนินงานของแต่ละหน่วยงานทุกไตรมาส
7.5.5 จัดทํารายงานและมีการรายงานความเสี่ยงต่อคณะเจ้าหน้าที่บริหาร
7.6 หน่วยงานตรวจสอบภายใน ผู้ตรวจสอบภายนอก
7.6.1 ตรวจสอบการทํางานของผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
7.6.2 หน่วยงานตรวจสอบภายในสอบทานเอกสาร กระบวนการ และประเมินประสิทธิภาพในการรักษาความมั่นคงปลอดภัยของระบบที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
7.6.3 จัดให้มีการสอบทานเอกสาร กระบวนการ และประเมินประสิทธิภาพในการรักษาความมั่นคงปลอดภัยของระบบที่เกี่ยวข้องกับข้อมูลส่วนบุคคลโดยผู้ตรวจสอบภายนอกเป็นประจําทุกปี
7.6.4 รายงานผลการตรวจสอบต่อคณะกรรมการตรวจสอบของบริษัท
7.7 หน่วยธุรกิจหรือเทียบเท่า
7.7.1 ให้ผู้บริหารสูงสุดของแต่ละหน่วยธุรกิจหรือเทียบเท่า มีหน้าที่ สั่งการ ควบคุม กํากับดูแลให้พนักงานภายในสังกัดของตนปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และนโยบายฉบับนี้โดยเคร่งครัด โดยให้มีหน้าที่เป็นผู้ประสานงานข้อมูลส่วนบุคคล (Data Protection Coordinator: DPC) รวมถึงแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลซึ่งเกิดขึ้นในบริษัทหรือหน่วยงานของตนต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วน Yana (Data Protection Officer: DPO)
7.7.2 หน่วยธุรกิจ หน่วยงานระดับสายงาน ระดับสํานักหรือเทียบเท่า สามารถออกข้อกําหนดหรือระเบียบปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อใช้บังคับภายในหน่วยงานของตนได้ ทั้งนี้ ข้อกําหนดหรือระเบียบปฏิบัติดังกล่าวนั้น ต้องเป็นไปตามนโยบายฉบับนี้และตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และต้องแจ้งให้กับสํานักกฎหมาย กลุ่มธุรกิจฯ ทราบ
8. การรักษาความมั่นคงปลอดภัย
เพื่อประโยชน์ในการรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคล บริษัทได้มีมาตรการ ดังนี้
8.1 กําหนดสิทธิในการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล รวมถึงการแสดงหรือยืนยันตัวบุคคล ผู้เข้าถึงหรือใช้ข้อมูลส่วนบุคคล จัดให้มีมาตรการรักษาความปลอดภัย รวมถึงกระบวนการทบทวนและประเมินประสิทธิภาพของมาตรการรักษาความปลอดภัยดังกล่าว ทั้งนี้ เป็นไปตามนโยบายการรักษาความปลอดภัยระบบ
8.2 ในการส่ง การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนําข้อมูลส่วนบุคคลไปเก็บบนฐานข้อมูลในระบบอื่นใด ซึ่งผู้ให้บริการรับโอนข้อมูลหรือบริการเก็บรักษาข้อมูลอยู่ต่างประเทศ ประเทศปลายทางที่เก็บรักษาข้อมูลต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่าหรือดีกว่ามาตรการตามนโยบายนี้
8.3 ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความมั่นคงปลอดภัยของบริษัท จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคล บริษัทจะดําเนินการตามนโยบายการละเมิดและข้อมูลรั่วไหล (Data Breach Handling Policy) และตามที่กฎหมายกําหนด หากการละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดําเนินการแจ้งเหตุการละเมิดพร้อมทั้งแนวทางการเยียวยาให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า ทั้งนี้ บริษัทจะไม่รับผิดชอบในกรณีความเสียหายใด ๆ อันเกิดจากการที่เจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่นใดซึ่งได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล จงใจหรือประมาทเลินเล่อ หรือเพิกเฉยต่อมาตรการรักษาความปลอดภัย จนเป็นเหตุให้ข้อมูลส่วนบุคคลถูกใช้หรือเปิดเผยต่อบุคคลที่
สามหรือบุคคลอื่นใด
9. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอเข้าถึงข้อมูลส่วนบุคคลของตน ขอรับสําเนา ขอถอนความยินยอม คัดค้าน การ
เก็บ การใช้ การเปิดเผย ขอให้ลบทําลายหรือพักการใช้ ขอแก้ไขข้อมูลให้เป็นปัจจุบัน ร้องเรียน หรือขอให้โอนข้อมูลส่วน บุคคลของตนไปยังผู้ควบคุมข้อมูลอื่น เว้นแต่เป็นการกระทบต่อสิทธิเสรีภาพของบุคคลอื่น เป็นการปฏิบัติหน้าที่เพื่อ สาธารณะประโยชน์หรือตามกฎหมาย หรือเพื่อการศึกษาวิจัย ทั้งนี้ เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
10. การร้องเรียน การแจ้งเบาะแส
กรณีพบเหตุอันควรสงสัยหรือเชื่อว่ามีการละเมิดการเก็บรวบรวม ใช้ และ/หรือการเปิดเผยข้อมูลส่วนบุคคล หรือเจ้าของข้อมูลส่วนบุคคลประสงค์ที่จะร้องเรียนหรือใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ หรือตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทตามข้อมูลติดต่อด้านล่างนี้
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
บริษัท โอเพน ซอร์ส เทคโนโลยี จำกัด
เลขที่ 88/9 หมู่ที่ 2 อาคารซอฟต์แวร์พาร์คภูเก็ต ถนนเจ้าฟ้าตะวันตก ตำบลวิชิต อำเภอเมือง จังหวัดภูเก็ต 83000
Email Address: dpo@hospital-os.com
เบอร์โทรศัพท์: 076-684-991
11. การฝึกอบรม
บริษัทจัดให้มีการฝึกอบรมและประเมินผลเกี่ยวกับการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้กับผู้บริหารและพนักงานทุกระดับในการนี้ ผู้ประสานงานข้อมูลส่วนบุคคล (Data Protection Coordinator: DPC) ต้องเข้าร่วมฝึกอบรม และกําหนดให้พนักงานในสังกัดของตนซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคลต้องเข้าร่วมฝึกอบรมอย่างเคร่งครัด
12. การทบทวนนโยบาย
บริษัทจะทําการทบทวนนโยบายนี้อย่างน้อยปีละ 1 ครั้ง หรือกรณีที่กฎหมายมีการเปลี่ยนแปลงแก้ไข
13. การฝ่าฝืน
บริษัทจะไม่ยอมประนีประนอมในเรื่องการคุ้มครองข้อมูลส่วนบุคคล หากผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูล หรือผู้มีหน้าที่รับผิดชอบในการดําเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของตน ที่เกี่ยวข้องกับนโยบายการคุ้มครอง ข้อมูลส่วนบุคคล ละเลยหรือละเว้นไม่สั่งการ หรือไม่ดําเนินการ หรือสั่งการ หรือดําเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตน จนทําให้เกิดการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลโดยผิดวัตถุประสงค์ การละเมิดต่อเจ้าของข้อมูลส่วนบุคคล อันเป็นการฝ่าฝืนนโยบายและแนวปฏิบัติเกี่ยวกับเรื่องข้อมูลส่วนบุคคล และ/หรือตามที่พระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 กําหนด พนักงานผู้นั้นต้องรับโทษทางวินัยตามระเบียบของบริษัท และหากการกระทําผิด ดังกล่าวของพนักงานและ/หรือบุคคลใดก่อให้เกิดความเสียหายแก่บริษัทและ/หรือบุคคลอื่นใด บริษัทอาจพิจารณา ดําเนินคดีตามกฎหมายเพิ่มเติมต่อไป
คุณสามารถดูรายละเอียดการจัดการข้อมูลส่วนบุคคลของ โอเพน ซอร์ส เทคโนโลยี ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่เว็บไซต์ Term and Condition ทั้งนี้ คุณสามารถเปลี่ยนแปลงการให้ความยินยอมผ่าน โอเพน ซอร์ส เทคโนโลยี Call Center โทร 0-7668-4991