นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

บริษัท XX_GISMO_XX จำกัด (“บริษัท”) เป็นผู้ให้บริการโปรแกรมบัญชีและระบบจัดการธุรกิจออนไลน์ ซึ่งในการดำเนินการดังกล่าว บริษัทอาจมีความจำเป็นจะต้องเก็บข้อมูลส่วนบุคคลของท่านที่มีฐานะเป็นเจ้าของข้อมูลส่วนบุคคล (“ท่าน”) โดยบริษัทมีความรับผิดชอบในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่อยู่ภายใต้ความดูแลของบริษัท และมุ่งมั่นที่จะจัดการข้อมูลด้วยวิธีการที่มั่นคงปลอดภัยและน่าเชื่อถือ ด้วยการให้ความสำคัญต่อความเป็นส่วนตัว และความปลอดภัยของท่าน บริษัทจึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ (“นโยบาย”) ซึ่งอธิบายถึงวิธีการที่บริษัทปฏิบัติต่อข้อมูลส่วนบุคคล และข้อมูลอ่อนไหวของท่าน เช่น การเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย รวมถึงสิทธิต่างๆ ของท่าน ซึ่งถือเป็นส่วนหนึ่งของเงื่อนไขการใช้บริการ โดยบริษัทขอแนะนำให้ท่านทำความเข้าใจนโยบายฉบับนี้ก่อนใช้บริการ ทั้งนี้ เมื่อผู้ใช้บริการเริ่มต้นใช้บริการของบริษัท โดยเฉพาะเมื่อผู้ใช้บริการเริ่มต้นลงทะเบียนเพื่อสมัครใช้งานแอปพลิเคชัน หรือติดต่อสื่อสารมายังบริษัทผ่านช่องทางที่กำหนดและในการใช้บริการแต่ละครั้ง ถือว่าท่าน ตกลงและยอมรับนโยบายฉบับนี้แล้ว หากผู้ใช้บริการปฏิเสธหรือไม่ยอมรับนโยบายฉบับนี้ บริษัทขอสงวนสิทธิ์ในการปฏิเสธการให้บริการต่าง ๆ แก่ผู้ใช้บริการดังกล่าว


1. คำนิยาม

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม ข้อมูลของนิติบุคคล ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล ชื่อบริษัท ที่อยู่ของบริษัท เลขทะเบียนนิติบุคคลของบริษัท หมายเลขโทรศัพท์ของที่ทำงาน ที่อยู่อีเมลที่ใช้ในการทำงาน ที่อยู่อีเมลกลุ่มของบริษัท ข้อมูลนิรนาม (Anonymous Data) หรือข้อมูลแฝงที่ทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค (Pseudonymous Data) เป็นต้น

ข้อมูลอ่อนไหว หมายถึง ข้อมูลที่มีความละเอียดอ่อน และอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

“ประมวลผล” หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคลไม่ว่าด้วยวิธีการอัตโนมัติหรือไม่ก็ตาม เช่น การเก็บรวบรวม การบันทึก การจัดระบบ การจัดเก็บ การปรับเปลี่ยนหรือการดัดแปลง การเรียกคืน การปรึกษา การใช้ การเปิดเผย (โดยการส่ง โอน การเผยแพร่หรือการทำให้สามารถเข้าถึงหรือพร้อมใช้งานโดยวิธีใด ๆ) การจัดเรียง การนำมารวมกัน การบล็อกหรือจำกัด การลบหรือการทำลาย เป็นต้น

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล”หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“คุกกี้”หมายถึง ไฟล์คอมพิวเตอร์ขนาดเล็ก ที่จัดเก็บข้อมูลส่วนบุคคลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของเจ้าของข้อมูลส่วนบุคคล เพื่อความสะดวกและรวดเร็วในการติดต่อสื่อสารซึ่งจะมีผลในขณะที่เข้าใช้งานระบบเว็บไซต์เท่านั้น

“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล”หมายถึง บุคคลซึ่งได้รับการแต่งตั้งจากบริษัทให้มีหน้าที่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562


2. ประเภทของเจ้าของข้อมูลส่วนบุคคล

บริษัทประมวลผลข้อมูลส่วนบุคคล ตามประกาศความเป็นส่วนตัว (Privacy Notice) แต่ละฉบับ ซึ่งแยกตามประเภทของเจ้าของข้อมูลส่วนบุคคล และแยกตามกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคล ดังต่อไปนี้

2.1 ลูกค้า/ผู้ใช้บริการ หมายถึง (ก) บุคคลที่ใช้บริการจากบริษัท ผู้ลงทะเบียนสมัครใช้บริการและ/หรือสมัครใช้บริการแอปพลิเคชันของบริษัท ภายใต้ชื่อ GismoSoft รวมถึงเว็บไซต์ของบริษัท boqwork.com (“แอปพลิเคชัน”) และหมายความรวมถึง บุคคลที่เกี่ยวข้อง หรือเป็นตัวแทน หรือมีอำนาจดำเนินการแทนลูกค้า (ข) บุคคลทั่วไปที่มีนิติสัมพันธ์หรือติดต่อกับบริษัท เช่น ผู้เข้ามาเยี่ยมชมหน้าเว็บไซต์ของบริษัท ผู้ติดต่อมายังบริษัทเพื่อการประสานงานสนับสนุนผ่าน Call Centre, LINE Official Account, Facebook, และ Twitter ผู้ที่ติดต่อเพื่อขอรับข้อมูลจากบริษัท ผู้ตอบแบบสอบถามเกี่ยวกับบริการของบริษัท (บริการทั้งหมดเรียกรวมกันว่า “บริการ”) (ค) ผู้ลงทะเบียนสัมมนา การเรียน การทดสอบเพื่อผ่านเกณฑ์ประเมินของเรา โปรดดูประกาศความเป็นส่วนตัว (Privacy Notice) สำหรับลูกค้าและผู้รับบริการ

2.2 คู่ค้า หมายถึง บุคคลธรรมดา ตัวแทนของนิติบุคคล เช่น กรรมการ ผู้มีอำนาจลงนาม ผู้รับมอบอำนาจ ผู้รับมอบอำนาจช่วง ผู้ปฏิบัติงาน พนักงาน และลูกจ้างของนิติบุคคลที่ได้เข้าร่วม หรือจะเข้าร่วมทำธุรกรรมต่าง ๆ กับบริษัท และผู้ที่ข้อมูลส่วนบุคคลปรากฏในเอกสารต่าง ๆ ที่เกี่ยวข้อง รวมถึงบุคคลที่เข้าเสนอราคาเพื่อขายสินค้า และ/หรือให้บริการแก่บริษัท อาทิ ผู้ให้บริการ ที่ปรึกษา ผู้เชี่ยวชาญ นักวิชาการ วิทยากร ผู้เข้าร่วมโครงการธุรกิจ คู่สัญญา หรือมีความสัมพันธ์อื่นใดที่มีลักษณะคล้ายคลึงกันกับบริษัท เป็นต้นหมายถึง บุคคลธรรมดา ตัวแทนของนิติบุคคล เช่น กรรมการ ผู้มีอำนาจลงนาม ผู้รับมอบอำนาจ ผู้รับมอบอำนาจช่วง ผู้ปฏิบัติงาน พนักงาน และลูกจ้างของนิติบุคคลที่ได้เข้าร่วม หรือจะเข้าร่วมทำธุรกรรมต่าง ๆ กับบริษัท และผู้ที่ข้อมูลส่วนบุคคลปรากฏในเอกสารต่าง ๆ ที่เกี่ยวข้อง รวมถึงบุคคลที่เข้าเสนอราคาเพื่อขายสินค้า และ/หรือให้บริการแก่บริษัท อาทิ ผู้ให้บริการ ที่ปรึกษา ผู้เชี่ยวชาญ นักวิชาการ วิทยากร ผู้เข้าร่วมโครงการธุรกิจ คู่สัญญา หรือมีความสัมพันธ์อื่นใดที่มีลักษณะคล้ายคลึงกันกับบริษัท เป็นต้น

2.3 บุคลากรของบริษัท หมายถึง ลูกจ้าง หรือบุคคลซึ่งทำงาน หรือปฏิบัติหน้าที่ใด ๆ ให้กับบริษัท และได้รับเงินเดือน ค่าจ้าง สวัสดิการ หรือค่าตอบแทนจากบริษัท เช่น ผู้บริหาร ผู้จัดการ พนักงาน บุคลากร หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน และให้หมายความรวมถึงบุคคลที่เกี่ยวข้องกับบุคลากรของบริษัท และผู้ที่ข้อมูลส่วนบุคคลปรากฏในเอกสารต่าง ๆ ที่เกี่ยวข้องกับกระบวนการรับสมัครงาน เช่น บุคคลในครอบครัว บิดา มารดา คู่สมรส และบุตร บุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน บุคคลอ้างอิง (Reference Person) ผู้รับผลประโยชน์ เป็นต้น

2.4 ผู้สมัครงาน หมายถึง บุคคลที่ได้ยื่นใบสมัครงาน/สมัครฝึกงาน หรือบุคคลอื่นใดที่ส่งรายละเอียดเกี่ยวกับประวัติส่วนตัวมาที่บริษัท มีวัตถุประสงค์เพื่อสมัครงาน/สมัครฝึกงาน เป็นพนักงานประจำ หรือพนักงานอัตราจ้าง และให้หมายความรวมถึงพนักงานที่อยู่ภายใต้การจ้างงานของผู้ให้บริการจัดหางาน outsource/พนักงาน freelance /ผู้ฝึกงาน ซึ่งยังไม่ได้รับคัดเลือกจากบริษัท และบุคคลที่เกี่ยวข้องกับผู้สมัคร และผู้ที่ข้อมูลส่วนบุคคลปรากฏในเอกสารต่าง ๆ ที่เกี่ยวข้องกับการสมัคร เช่น บุคคลในครอบครัว บุคคลอ้างอิง และบุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน เป็นต้น

2.5 ผู้ถูกถ่ายภาพ หมายถึง นายแบบ นางแบบ พรีเซนเตอร์ ผู้ที่รับจ้างหรือได้รับค่าตอบแทนจากการถ่ายภาพ บุคลากรของบริษัท ผู้ที่ได้รับรางวัล รวมถึงบุคคลที่ยินยอมให้บริษัทบันทึกภาพนิ่ง หรือภาพเคลื่อนไหว ระหว่างการสัมภาษณ์ การอบรม การเรียน บรรยากาศระหว่างการจัดกิจกรรม หรือการถ่ายภาพรวม (ภาพหมู่)

2.6 ผู้เข้าร่วมกิจกรรม หมายถึง ผู้เข้าร่วมกิจกรรม แคมเปญต่าง ๆ ของบริษัท หรือที่บริษัทจัดขึ้น หรือผู้ลงทะเบียน ผู้เข้าร่วมอบรม สัมมนา รวมถึง บุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน เป็นต้น

2.7 คุกกี้ บริษัทอาจใช้เทคโนโลยีอัตโนมัติในการเก็บรวบรวมข้อมูลส่วนบุคคล เมื่อท่านใช้งานเว็บไซต์ แอปพลิเคชัน ผ่านคอมพิวเตอร์ อุปกรณ์เคลื่อนที่ คอมพิวเตอร์ ได้แก่ ที่อยู่ไอพี (IP Address) เบราว์เซอร์ที่ใช้งาน หรือระบบปฏิบัติการ หน้าเว็บไซต์ที่เข้าชม และเว็บไซต์ต้นทางที่ผู้เข้าชมเชื่อมโยงมาที่เว็บไซต์ ซึ่งเทคโนโลยีอัตโนมัตินี้อาจรวมถึงการใช้คุกกี้ (Cookies) หรือเทคโนโลยีอื่น ๆ ที่คล้ายคลึงกัน โปรดดูนโยบายการใช้คุกกี้


3. การคุ้มครองความเป็นส่วนตัว

เพื่อเป็นการปฏิบัติตามกฎหมายที่กำหนดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล บริษัทจะแจ้งประกาศความเป็นส่วนตัว (Privacy Notice) ที่ระบุถึงการเก็บรวบรวมข้อมูลส่วนบุคคล โดยมีการแจ้งถึงรายละเอียดการรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคล รับรู้ ทางอิเล็กทรอนิกส์ หรือโดยข้อความสั้น หรือตามแบบวิธีการอื่นใด ที่บริษัทกำหนด ซึ่งบริษัทจะดำเนินการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ถึงรายละเอียด อย่างน้อยตามหัวข้อดังต่อไปนี้ เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว

1.ระบุประเภทของกลุ่มบุคคลที่บริษัทมีการเก็บรวบข้อมูลส่วนบุคคล

2.อธิบายถึงวัตถุประสงค์และวิธีการเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

3.ระบุถึงข้อมูลส่วนบุคคลที่เก็บรวบรวม

4.ระบุระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

5.ระบุสิทธิทั้งหมดของเจ้าของข้อมูลส่วนบุคคล

6.ระบุวิธีการใช้สิทธิแก่เจ้าของข้อมูลส่วนบุคคล และการถอนความยินยอมจากการจัดเก็บข้อมูลส่วนบุคคล

7.ระบุถึงมาตรการที่ดำเนินการทั้งหมดเพื่อปกป้องข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

8.ระบุช่องทางการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อ หรือสอบถามเพิ่มเติม หรือใช้สิทธิในฐานะเจ้าของข้อมูลส่วนบุคคล

9.ระบุประเภทของบุคคลหรือหน่วยงานภายนอกองค์กรที่อาจนำข้อมูลส่วนบุคคลไปใช้


4. การเก็บรวบรวมข้อมูลส่วนบุคคล

ในการเก็บรวบรวมข้อมูลส่วนบุคคล บริษัทกำหนดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของท่านอย่างเหมาะสม และสอดคล้องกับการรักษาความลับ เพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลโดยมิชอบ ซึ่งบริษัทและบุคคลภายนอกที่ได้รับมอบหมายจากบริษัท จะเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน ภายใต้เงื่อนไข ดังนี้

4.1 บริษัทจะประมวลผลข้อมูลส่วนบุคคลที่ท่านให้ไว้โดยมีการจำกัดสิทธิการเข้าถึงและใช้วิธีการที่ชอบด้วยกฎหมาย และเป็นธรรม ในการเก็บรวบรวมข้อมูลส่วนบุคคล และจะประมวลผลภายใต้วัตถุประสงค์ที่บริษัทกำหนดเท่านั้น ทั้งนี้ ก่อนการดำเนินการดังกล่าว บริษัทจะให้เจ้าของข้อมูล รับรู้ ให้ความยินยอมทางอิเล็กทรอนิกส์ ด้วยข้อความสั้น หรือตามแบบวิธีการของบริษัท

4.2 บริษัทจะประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล โดยบริษัทจะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่ในกรณีดังต่อไปนี้ บริษัทสามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม

4.2.1 เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ โดยบริษัท จะจัดให้มีมาตรการป้องกันเหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล

4.2.2 เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

4.2.3 เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา

4.2.4 เป็นการจำเป็นเพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบหมายให้แก่บริษัท

4.2.5 เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท หรือของบุคคลหรือนิติบุคคลอื่น เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของ เจ้าของข้อมูลส่วนบุคคล

4.2.6 เพื่อปฏิบัติตามกฎหมาย

4.3 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว บริษัทจะต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อน หรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวดังกล่าว ตามหลักเกณฑ์ที่บริษัทกำหนดโดยไม่ขัดต่อกฎหมาย โดยบริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหว เพื่อการให้บริการบางรูปแบบ เมื่อได้รับความยินยอมโดยชัดแจ้งจากท่าน หรือเมื่อท่านสมัครใจเปิดเผยข้อมูลต่อสาธารณะ หรือเมื่อเป็นกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด โดยอ้างอิงฐานทางกฎหมาย (Lawful Basis) อย่างน้อยฐานใดฐานหนึ่งตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด ดังนี้

4.3.1 เป็นการดำเนินการโดยได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล

4.3.2 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล โดยที่เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้

4.3.3 เพื่อการดำเนินกิจกรรมโดยชอบด้วยกฎหมายของมูลนิธิ สมาคม องค์กรไม่แสวงหากําไรที่มีวัตถุประสงค์เกี่ยวกับการเมือง ศาสนา ปรัชญา หรือสหภาพแรงงานโดยมีมาตรการคุ้มครองที่เหมาะสม

4.3.4 เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล

4.3.5 เป็นการจําเป็นเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย

4.3.6 เป็นการจําเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ด้านเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมิณความสามารถในการทำงานของลูกจ้าง ประโยชน์ด้านสาธารณสุข การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาล การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ หรือประโยชน์สาธารณะที่สำคัญ

4.4 ในกรณีที่บริษัทจะดำเนินการประมวลผลข้อมูลส่วนบุคคลของท่านในลักษณะ และ/หรือเพื่อวัตถุประสงค์ที่ไม่สอดคล้องกับวัตถุประสงค์ที่กำหนด บริษัทจะจัดให้มีนโยบายหรือประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพิ่มเติม และ/หรือมีหนังสือไปยังท่านเพื่ออธิบายการประมวลผลข้อมูลในลักษณะดังกล่าว โดยท่านควรอ่านนโยบายหรือประกาศเพิ่มเติมที่เกี่ยวข้องร่วมกับนโยบายฉบับนี้ และ/หรือหนังสือดังกล่าว (แล้วแต่กรณี)


5. การใช้และการเปิดเผยข้อมูลส่วนบุคคล

5.1 บริษัทจะใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลเท่านั้น โดยในกรณีใด ๆ ที่บริษัทต้องการเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพิ่มเติมหรือมีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผย บริษัทจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนที่จะดำเนินการกับข้อมูลส่วนบุคคลนั้น เว้นแต่เป็นกรณีที่กฎหมายกำหนดหรืออนุญาตให้ดำเนินการได้

5.2 บริษัทจะใช้ข้อมูลส่วนบุคคลอย่างเหมาะสม และในกรณีที่บริษัทใช้บริการสารสนเทศของผู้ให้บริการซึ่งเป็นบุคคลภายนอก บริษัทจะจัดให้มีการรักษาความมั่นคงปลอดภัยและมีการควบคุมการเข้าถึง ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยบริษัทจะกำกับดูแลพนักงาน ผู้ให้บริการเจ้าหน้าที่ หรือผู้ปฏิบัติงานของบริษัทมิให้ใช้และเปิดเผยข้อมูลส่วนบุคคลของท่านนอกเหนือไปจากวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลที่บริษัทกำหนดหรือเปิดเผยต่อบุคคลภายนอก

5.3 บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่าน ที่บริษัทจัดเก็บในปัจจุบัน และที่จะได้จัดเก็บในอนาคต ให้แก่พันธมิตร คู่ค้า บุคคล หรือนิติบุคคลอื่นภายในขอบเขตตามที่มีข้อตกลงร่วมกัน และที่ท่านสามารถคาดหมายได้


6. หลักการประมวลผลข้อมูลส่วนบุคคล

6.1 บริษัทจะประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย เป็นธรรม โปร่งใสและคำนึงถึงความถูกต้องของข้อมูลส่วนบุคคลทั้งนี้การกำหนดขอบเขตวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคลและระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลให้ทำได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายและแนวทางการดำเนินธุรกิจของบริษัท

6.2 บริษัทจะจัดให้มีกระบวนการและการควบคุมเพื่อบริหารจัดการข้อมูลส่วนบุคคลในทุกขั้นตอนให้สอดคล้องกับกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

6.3 บริษัทจะจัดทำและรักษาบันทึกการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities: ROPA) สำหรับบันทึกรายการและกิจกรรมต่างๆที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายรวมทั้งจะปรับปรุงบันทึกการประมวลผลข้อมูลส่วนบุคคลเมื่อมีการเปลี่ยนแปลงรายการหรือกิจกรรมที่เกี่ยวข้อง

6.4 บริษัทจะจัดให้มีกระบวนการที่ชัดเจนเพื่อให้มั่นใจได้ว่าการแจ้งวัตถุประสงค์การเก็บรวบรวมและรายละเอียดการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices) และการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลสอดคล้องกับกฎหมายรวมทั้งจัดให้มีมาตรการดูแลและตรวจสอบในเรื่องดังกล่าว

6.5 บริษัทจัดให้มีแนวทางในการอนุญาตให้เข้าถึงข้อมูลส่วนบุคคลได้เฉพาะบุคคลที่จำเป็นต้องรู้ และเข้าถึงข้อมูลส่วนบุคคล เพื่อให้บริษัทสามารถปฏิบัติหน้าที่ของตนตามคำสั่งที่เป็นลายลักษณ์อักษรจากผู้ว่าจ้าง หรืออยู่ในขอบเขตของงานที่จ้างเท่านั้น โดยในกรณีที่บริษัทเป็นผู้ประมวลผลข้อมูลส่วนบุคคล บริษัทจะดำเนินการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งที่เป็นลายลักษณ์อักษรตามที่ระบุในสัญญา และอยู่ในขอบเขตของงานที่จ้างเท่านั้น และจะปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวกับหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล

6.6 ในกรณีที่บริษัท ส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคลบริษัทจะจัดทำข้อตกลงเกี่ยวกับการใช้ข้อมูลส่วนบุคคลนั้นเพื่อกำหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

6.7 ในกรณีที่บริษัทส่งหรือโอน ข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะปฏิบัติให้สอดคล้องกับกฎหมาย

6.8 บริษัทจะทำลายข้อมูลส่วนบุคคลเมื่อครบกำหนดระยะเวลาโดยปฏิบัติให้สอดคล้องกับกฎหมายและแนวทางการดำเนินธุรกิจของบริษัท

6.9 บริษัทจะประเมินความเสี่ยงและจัดทำมาตรการเพื่อบรรเทาความเสี่ยงและลดผลกระทบที่จะเกิดขึ้นกับการประมวลผลข้อมูลส่วนบุคคล

6.10 บริษัทจะจัดให้มีการทบทวนและปรับปรุงนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ(Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลเป็นประจำ เพื่อให้ทันสมัยสอดคล้องกับกฎหมายและสถานการณ์ในแต่ละช่วงเวลา


7. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

บริษัทจะเก็บข้อมูลเจ้าของข้อมูลไว้ตามประเภทกิจกรรม และวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลดังที่ระบุใน ประกาศความเป็นส่วนตัว (Privacy Notice) บนเว็ปไซต์ของบริษัท หลังจากครบกำหนดระยะเวลาดังกล่าวข้างต้น บริษัทจะลบหรือทำลายข้อมูลส่วนบุคคลดังกล่าว จากการจัดเก็บจากระบบของบริษัท และของบุคคลอื่นซึ่งให้บริการแก่บริษัท (ถ้ามี) หรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลเป็นข้อมูลที่ไม่สามารถระบุตัวเจ้าของข้อมูลได้ หรือดำเนินการอื่นใดตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพ เว้นแต่จะเป็นกรณีที่บริษัท สามารถเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวได้ต่อไปตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องกำหนด

อย่างไรก็ดี บริษัท อาจเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลเป็นระยะเวลาเกินกว่าระยะเวลาดังกล่าวหากกฎหมายอนุญาตหรือการเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวจำเป็นต่อการก่อตั้งสิทธิเรียกร้องทางกฎหมายของบริษัท การปฏิบัติตามกฎหมาย หรือเป็นการปฏิบัติตามคำสั่งของเจ้าพนักงาน หรือหน่วยงานของรัฐที่มีอำนาจผู้เกี่ยวข้อง และเพื่อวัตถุประสงค์ทางธุรกิจหรือโดยชอบตามกฎหมาย


8. สิทธิของเจ้าของข้อมูลส่วนบุคคล

บริษัทให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคลให้มีสิทธิตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดดังต่อไปนี้

8.1 สิทธิในการถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลตลอดระยะเวลาที่ข้อมูลส่วนบุคคลอยู่กับบริษัท

8.2 สิทธิในการขอเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคล และสิทธิในการร้องขอให้เปิดเผยการได้มาของข้อมูลส่วนบุคคล

8.3 สิทธิในการขอรับข้อมูลส่วนบุคคลในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไป

8.4 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลเมื่อใดก็ได้

8.5 สิทธิในการร้องขอให้บริษัทลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้

8.6 สิทธิในการขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลได้

8.7 สิทธิในการร้องขอให้บริษัทดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

8.8 สิทธิในการร้องเรียนกรณีที่บริษัท หรือลูกจ้าง หรือผู้รับจ้างของบริษัทฝ่าฝืน หรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลผ่านแบบฟอร์มร้องเรียนการประมวลผลข้อมูล

ทั้งนี้ บริษัทเคารพสิทธิส่วนบุคคลของท่าน และเปิดโอกาสให้ท่านสามารถเลือกวิธีการควบคุม หรือวิธีการที่บริษัทใช้ติดต่อท่าน โดยบริษัทจะปฏิบัติตามที่ท่านได้ร้องขอ เพื่อช่วยให้เกิดความโปร่งใส และเพื่อคุณภาพของข้อมูล และความถูกต้องของข้อมูล โดยการร้องขอใด ๆ เพื่อการใช้สิทธิของท่านตามที่กฎหมายกำหนด จะต้องกระทำเป็นลายลักษณ์อักษรผ่านทางระบบอิเล็กทรอนิกส์ซึ่งบริษัทได้จัดให้มีขึ้นในเว็บไซต์ของบริษัท หรือกรณีท่านประสงค์จะใช้สิทธิถอนความยินยอมท่านสามารถเกรอกข้อมูลผ่านแบบฟอร์มคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหรือในกรณีท่านประสงค์ใช้สิทธิถอนความยินยอมสามารถกรอกข้อมูลผ่านแบบฟอร์มคำขอถอนความยินยอม


9. การรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคล

บริษัทตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของท่าน บริษัทจึงกำหนดให้มีมาตรการอย่างเหมาะสมเพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ เปลี่ยนแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย รวมถึงกำหนดนโยบาย ระเบียบ แนวปฏิบัติ และขั้นตอนวิธีการต่าง ๆ ดังนี้

9.1 กำหนดนโยบายและขั้นตอนการปฏิบัติงานที่ชัดเจน เพื่อการคุ้มครองข้อมูลส่วนบุคคล และเพื่อจัดการข้อมูลให้เป็นไปตามที่กฎหมายกำหนดอย่างปลอดภัย

9.2 ไม่จำหน่ายหรือขายข้อมูลส่วนบุคคลของท่านไม่ว่ากรณีใด และจะไม่โอนข้อมูลส่วนบุคคลของท่านไปยังบุคคลอื่นที่ไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท

9.3 จำกัดสิทธิลูกจ้างของบริษัท ในการเข้าถึงข้อมูลส่วนบุคคล และกำหนดสิทธิในการเข้าถึง หรือการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อรักษาความลับและความปลอดภัยของข้อมูล

9.4 ป้องกันการเข้าถึงนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต โดยจัดให้มีการเข้ารหัสข้อมูล การตรวจสอบตัวตนและเทคโนโลยีการตรวจจับไวรัส ตามความจำเป็น

9.5 ตรวจสอบสถานะ คู่ค้าของบริษัท กำหนดให้คู่ค้าที่ทำธุรกิจกับบริษัท ต้องปฏิบัติตามหลักเกณฑ์ตามกฎหมายและระเบียบต่าง ๆ ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกำหนดข้อจำกัดการใช้ข้อมูลส่วนบุคคล

9.6 ติดตามตรวจสอบเว็บไซต์ของบริษัท ผ่านหน่วยงานที่มีความเชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย

9.7 กำหนดให้ลูกจ้างของบริษัท เข้ารับการฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และการรักษาความมั่นคงปลอดภัยของข้อมูล

9.8 ประเมินผลแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล การจัดการข้อมูล และการรักษาความมั่นคงปลอดภัยของข้อมูลทางเทคนิค ทางกายภาพ และทางธุรการที่เหมาะสม รวมถึง ทบทวนมาตรการรักษาความปลอดภัยเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป

9.9 จัดให้มีระบบการตรวจสอบ เพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคล เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น

9.10 จัดให้มีระบบการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 (เจ็ดสิบสอง) ชั่งโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล


10. การเชื่อมโยงไปยังเว็บไซต์ บริการของบุคคลภายนอก

เว็บไซต์ของบริษัทอาจมีลิงค์เชื่อมโยงไปยังเว็บไซต์ของบุคคลภายนอกซึ่งบุคคลภายนอกเหล่านั้นอาจเก็บรวบรวมข้อมูลบางอย่างเกี่ยวกับการใช้บริการ และข้อมูลส่วนบุคคล โดยบริษัทไม่สามารถรับผิดชอบในความปลอดภัยหรือความเป็นส่วนตัวของข้อมูลใด ๆ ที่เก็บรวบรวมโดยเว็บไซต์ของบุคคลภายนอกดังกล่าว เจ้าของข้อมูลส่วนบุคคลควรใช้ความระมัดระวังและตรวจสอบนโยบายคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์ ของบุคคลภายนอกเหล่านั้นให้ละเอียดก่อนการใช้บริการเว็บไซต์ของบุคคลภายนอก ดังต่อไปนี้

10.1 บริษัทมีตัวเลือกให้ผู้ใช้ส่งออกข้อมูลไปยังแอปพลิเคชันและเว็บไซต์ของบุคคลที่สาม รวมถึงไซต์เครือข่ายสังคม ซึ่งรวมถึงแต่ ไม่จำกัดเฉพาะ Facebook, Google Account, LINE Account, Apple Account เมื่อส่งออกข้อมูลดังกล่าว แสดงว่าผู้ใช้อาจกำลังเปิดเผยข้อมูลของผู้ใช้ให้กับบุคคลอื่นหรือองค์กรอื่นที่รับผิดชอบด้านการดำเนินการและบำรุงรักษาแอปพลิเคชันและไซต์ของบุคคลที่สาม บุคคลอื่นที่เข้ามาดูหรือใช้แอปพลิเคชันหรือไซต์เหล่านั้นอาจเข้าถึงข้อมูลของผู้ใช้ได้ บริษัทไม่ได้เป็นเจ้าของหรือดูแลจัดการแอปพลิเคชันหรือเว็บไซต์ที่ผู้ใช้เชื่อมต่อ บริษัทจึงขอแนะนำให้ผู้ใช้ระมัดระวังเกี่ยวกับการเปิดเผยข้อมูลส่วนตัวในลักษณะนี้ และผู้ใช้ควรทบทวนนโยบายความเป็นส่วนตัวของเว็บไซต์นั้นเพื่อรับรองว่าผู้ใช้พอใจกับวิธีที่เว็บไซต์เหล่านั้นใช้ข้อมูลที่ผู้ใช้มอบให้กับพวกเขา

10.2 บริษัทมีการใช้งาน Google Analytics เพื่อเรียกดูข้อมูลการใช้งานของผู้ใช้ รวมถึง แต่ไม่จำกัดเฉพาะข้อมูลของ เบราเซอร์ ข้อมูลของอุปกรณ์ ประเทศที่อยู่ เพื่อจุดประสงค์ในการพัฒนาปรับปรุงประสบการณ์การใช้งานแพลตฟอร์มให้ดียิ่งขึ้น รวมถึงนำข้อมูลพฤติกรรมการใช้งานเพื่อการนำเสนอและโฆษณาสินค้าและบริการที่เหมาะสมกับผู้ใช้แต่ละราย โดยไม่มีการเปิดเผยข้อมูลดังกล่าวให้กับบุคคลอื่นใดนอกเหนือจากใช้งานภายในบริษัท หากผู้ใช้ไม่ต้องการให้ Google Analytics สามารถเข้าถึงข้อมูลการใช้งานของผู้ใช้ได้ สามารถเลือกที่จะปิดการบันทึกการใช้งานผ่านเครื่องมือของ Google ทางhttps://tools.google.com/dlpage/gaoptout/

10.3 บริษัทใช้งาน Hotjar เพื่อทำความเข้าใจความต้องการของผู้ใช้และปรับปรุงประสบการณ์การให้บริการให้ดียิ่งขึ้น ผ่านการเก็บบันทึกพฤติกรรมการใช้งานแพลตฟอร์ม เช่น ระยะเวลาที่ใช้ในการดูข้อมูลแต่ละหน้า การกดลิงค์ การกดปุ่ม หรือการบันทึกวีดิโอหน้าจอขณะกำลังใช้งาน Hotjar มีการใช้งานคุกกี้และเทคโนโลยีอื่นในการเก็บบันทึกข้อมูลการใช้งานของผู้ใช้ ประเภทของอุปกรณ์ ขนาดของอุปกรณ์ IP address ของอุปกรณ์ ข้อมูลของเบราเซอร์ ประเทศที่อยู่ ภาษาที่ใช้งาน โดย Hotjar ไม่มีนโยบายในการเก็บข้อมูลที่เป็นส่วนตัว เช่น หมายเลขโทรศัพท์ หมายเลขบัตรเครดิต และไม่มีนโยบายในการขายข้อมูลดังกล่าวให้กับบุคคลใด สามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับ Hotjar ได้ทางเว็บไซต์https://help.hotjar.com/hc/en-us/categories/115001323967-About-Hotjar


11. การใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม

ในกรณีที่บริษัท เก็บรวบรวมข้อมูลส่วนบุคคลของท่านไว้ก่อนวันที่วันที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ในส่วนที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมีผลใช้บังคับ บริษัทจะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของท่านต่อไปตามวัตถุประสงค์เดิม ซึ่งท่านมีสิทธิยกเลิกความยินยอมเมื่อใดก็ได้ โดยติดต่อมายังบริษัทผ่านการกรอกแบบฟอร์มขอถอนความยินยอม


12. ช่องทางการติดต่อ

บริษัท ได้มอบหมายให้นาย xxx_firstname xxx_lastname เป็นผู้ประสานงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท ในกรณีที่เจ้าของข้อมูลมีข้อสงสัยใด ๆ หรือต้องการใช้สิทธิตามที่กำหนดไว้ในนโยบายนี้ ผ่านช่องทาง ดังนี้

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

อีเมล :dpo@boqwork.com

ที่อยู่ : xxx/xx ถนนประชาอุทิศ แขวงทุ่งครุ เขตทุ่งครุ กรุงเทพมหานคร


13. การทบทวนนโยบาย

บริษัทอาจปรับปรุงเปลี่ยนแปลง หรือแก้ไขเพิ่มเติมนโยบายความเป็นส่วนตัวนี้เป็นครั้งคราว เพื่อให้เป็นไปตามหลักเกณฑ์ที่กฎหมายกำหนด โดยบริษัทจะประกาศแจ้งการเปลี่ยนแปลงให้ท่านทราบผ่านช่องทางที่เว็บไซต์ และ/หรือแพลตฟอร์มของบริษัท

ประกาศเมื่อวันที่ 1 สิงหาคม 2566

ติดต่อผู้พัฒนา

08-1234-1234

boqwork-support@gmail.com

เวลาทำการ 09:00 - 18:00 น.

2024 BOQ Work. All rights reseved.