นโยบายการคุ้มครองข้อมูลส่วนบุคคล

ข้อมูลสำคัญ

อนุมัติ ณ วันที่ อนุมัติโดยคณะกรรมการบริษัท เมื่อวันที่ 11 พฤษภาคม 2565
วัตถุประสงค์การใช้งาน แนวทางปฏิบัติ
ผู้รับผิดชอบ* คณะกรรมการบริหารความยั่งยืนและความเสี่ยง
ผู้ติดตามและรายงาน ฝ่ายเทคโนโลยีสารสนเทศ / ฝ่ายตรวจสอบภายใน / สำนักกฎหมายและงานกำกับกับดูแล

* หมายเหตุ : ผู้รับผิดชอบ  หมายถึง คณะกรรมการชุดย่อยซึ่งมีหน้าที่ จัดให้มีนโยบาย วางกรอบแนวทางการกำกับดูแลการดำเนินการที่เกี่ยวข้อง รวมถึง ทบทวน ให้ข้อเสนอแนะ ติดตาม และประเมินผลการดำเนินการของนโยบาย

หลักการและเหตุผล

ด้วยบริษัท เสริมสุข จำกัด (มหาชน) และบริษัทย่อย (รวมเรียกว่า “เสริมสุข”) ตระหนักและเคารพในความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลของกรรมการ ผู้บริหาร พนักงาน ผู้ถือหุ้น ลูกค้า คู่ค้า พันธมิตรทางธุรกิจ ผู้ใช้บริการ ผู้ให้บริการ และผู้มีส่วนได้เสียที่เป็นบุคคลธรรมดาของเสริมสุข เสริมสุขจึงมีนโยบายในการคุ้มครองข้อมูลส่วนบุคคล เพื่อป้องกันมิให้มีการนำข้อมูลส่วนบุคคลของบุคคลดังกล่าวไปใช้ในทางที่ไม่เหมาะสมและรักษาข้อมูลส่วนบุคคลดังกล่าวให้ปลอดภัยตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศที่เสริมสุขเข้าไปประกอบธุรกิจหรือดำเนินกิจกรรมต่าง ๆ และสอดคล้องกับมาตรฐานที่เป็นที่ยอมรับกันโดยทั่วไป

ขอบเขตนโยบาย

นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) ฉบับนี้นำมาใช้กับกรรมการของเสริมสุขทุกท่าน (“กรรมการ”) ผู้บริหารของเสริมสุข (พนักงานตั้งแต่ระดับผู้ช่วยผู้อำนวยการขึ้นไปจนถึงระดับกรรมการผู้จัดการ) (“ผู้บริหาร”) และพนักงานของเสริมสุขทุกคน (“พนักงาน”) และใช้กับทุกกิจการที่เสริมสุขมีอำนาจในการบริหาร เช่น บริษัทย่อย และกิจการร่วมค้า (Joint Ventures)

นอกจากนี้ เสริมสุขมุ่งหวังและส่งเสริมให้คู่ค้าและพันธมิตรทางธุรกิจของเสริมสุขที่เสริมสุขไม่มีอำนาจในการบริหารให้การสนับสนุนและปฏิบัติตามแนวนโยบายฉบับนี้

คำนิยาม

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม

“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

“คู่ค้า” หมายถึง ผู้รับเหมา ผู้รับเหมาช่วง ผู้แทนจำหน่ายสินค้า ผู้ค้าส่ง ผู้ผลิตสินค้า ผู้ผลิตสินค้าขั้นปฐมภูมิ ผู้รับแฟรนไชส์ ผู้รับอนุญาตให้ใช้สิทธิ นายหน้า และที่ปรึกษาที่ทำธุรกรรมร่วมกับเสริมสุข

“เจ้าของข้อมูล” หมายถึง บุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล

“บุคคล” หมายถึง บุคคลธรรมดา

“พันธมิตรทางธุรกิจ” หมายถึง ตัวแทนจำหน่ายสินค้าของเสริมสุข หุ้นส่วนในกิจการร่วมค้า และลูกค้า

วัตถุประสงค์และแนวทางปฏิบัติของนโยบายมีดังต่อไปนี้

  1. เสริมสุขจะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ภายใต้วัตถุประสงค์ ขอบเขต และวิธีการที่ชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส โดยในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เสริมสุขจะแจ้งวัตถุประสงค์และรายละเอียดตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้เจ้าของข้อมูลทราบ และขอความยินยอมจากเจ้าของข้อมูลก่อนหรือในขณะเก็บรวบรวม ใช้ หรือเปิดเผย ตามวิธีการที่เหมาะสมและสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอม กรณีเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว เสริมสุขจะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลก่อนหรือในขณะเก็บรวบรวม ใช้ หรือเปิดเผย เว้นแต่เป็นกรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอม
  2. เสริมสุขจะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งให้เจ้าของข้อมูลทราบ หากจะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้ดังกล่าว เสริมสุขจะแจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลทราบและขอความยินยอมจากเจ้าของข้อมูลโดยไม่ชักช้า เว้นแต่เป็นกรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอม
  3. เสริมสุขจะเก็บรวบรวมข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นแก่การดำเนินงานภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายที่เกี่ยวข้องกับการประกอบกิจการของเสริมสุข
  4. เสริมสุขจะดำเนินการให้ข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
  5. เสริมสุขจะจัดเก็บข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้แจ้งให้เจ้าของข้อมูลทราบหรือตามที่กฎหมายกำหนด
  6. เสริมสุขจะไม่ส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ เว้นแต่เป็นกรณีที่ได้รับยกเว้นตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือได้ปฏิบัติตามหลักเกณฑ์และวิธีการที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดแล้ว
  7. เจ้าของข้อมูลมีสิทธิในการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของตนซึ่งอยู่ในความรับผิดชอบของเสริมสุขได้ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด โดยเสริมสุขจะจัดให้มีมาตรการ ช่องทาง และวิธีการเพื่อให้เจ้าของข้อมูลใช้สิทธิดังกล่าวได้ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
  8. เสริมสุขจะจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
  9. เสริมสุขจะจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officers : DPO) เพื่อทำหน้าที่ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด และจะแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการในการติดต่อให้เจ้าของข้อมูลทราบตามวิธีการที่เหมาะสม
  10. เสริมสุขจะจัดให้มีระเบียบ แนวปฏิบัติหรือมาตรการต่าง ๆ ในการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
  11. เสริมสุขจะสื่อสารให้คู่ค้าและพันธมิตรทางธุรกิจดำเนินธุรกิจโดยปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
  12. เสริมสุขจะจัดให้มีกระบวนการการตรวจสอบด้านการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล การละเมิดข้อมูลส่วนบุคคล หรือการละเมิดสิทธิของเจ้าของข้อมูล เพื่อระบุประเด็นและประเมินความเสี่ยงและผลกระทบ
  13. กรรมการผู้จัดการและผู้บริหารมีหน้าที่ส่งเสริม สร้างความรู้ความเข้าใจและสนับสนุนให้ผู้ที่เกี่ยวข้องทุกคนปฏิบัติตามนโยบาย
  14. บุคคลที่กระทำการละเมิดนโยบายจะถูกส่งเข้าสู่กระบวนการพิจารณาความผิดทางวินัย เมื่อคณะกรรมการที่รับผิดชอบได้ตรวจสอบอย่างครบถ้วนแล้ว บุคคลผู้กระทำผิดจะถูกลงโทษตามกฎระเบียบข้อบังคับการทำงานของเสริมสุข และในกรณีที่การกระทำดังกล่าวเป็นการกระทำที่ผิดกฎหมาย ผู้กระทำความผิดอาจถูกดำเนินคดีตามกฎหมายต่อไป
  15. คณะกรรมการบริษัทจะสอบทานและทบทวนนโยบายให้ทันสมัยตามความเหมาะสม