นโยบายการคุ้มครองข้อมูลส่วนบุคคล

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

 

วัตถุประสงค์

บริษัทตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ของพนักงาน ลูกค้า คู่ค้าธุรกิจ ผู้มีความสัมพันธ์ทางธุรกิจ และบุคคลอื่นที่สามารถระบุตัวตนได้ ดังนั้น บริษัทจึงได้จัดทำนโยบายและระเบียบด้านการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น เพื่อให้การดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล ตลอดจนการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงมีการปกป้องข้อมูลส่วนบุคคลจากการถูกนำไปใช้ในทางที่ผิดและรักษาข้อมูลดังกล่าวให้ปลอดภัยตามมาตรฐานสากล

คำนิยาม

“บริษัท” หมายถึง บริษัท สหวิริยาสตีลอินดัสตรี จำกัด (มหาชน)  

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ เช่น ชื่อ สกุล ที่อยู่ วันเดือนปีเกิด เพศ ประวัติการศึกษา หมายเลขโทรศัพท์ เลขประจำตัวประชาชน เลขหมาย รหัส และให้หมายความรวมถึงข้อมูลอื่นใดเกี่ยวกับบุคคลใดบุคคลหนึ่งซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม

“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลเกี่ยวกับสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน

“เจ้าของข้อมูล” หมายถึง บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล เช่น พนักงาน ลูกค้า คู่ค้า ผู้มีความสัมพันธ์ทางธุรกิจ เป็นต้น

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามผู้ควบคุมข้อมูลส่วนบุคคล โดยที่บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

“ผู้ใช้บริการ” หมายถึง บุคคลหรือนิติบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล ที่เข้ามาติดต่อยังระบบสารสนเทศของบริษัท

“ระบบข้อมูลสารสนเทศ” หมายถึง ระบบคอมพิวเตอร์ ระบบเครือข่ายติดต่อสื่อสาร ระบบเครือข่ายเชื่อมต่อเข้าระบบอินเทอร์เน็ต ระบบเก็บข้อมูล ระบบจดหมายอิเล็กทรอนิกส์ (E-mail) ระบบสื่อสารข้อมูลทุกประเภท ข้อมูลอุปกรณ์สื่อสาร อุปกรณ์คอมพิวเตอร์ และอุปกรณ์ต่อพ่วง หรืออุปกรณ์ใดๆ ที่เกี่ยวข้องอันเป็นกรรมสิทธิ์ของบริษัท และ/หรือที่บริษัทได้รับอนุญาตให้ใช้ได้ตามกฎหมาย

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หมายถึง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการแต่งตั้งขึ้น โดยมีหน้าที่และอำนาจกำกับดูแล ออกหลักเกณฑ์ มาตรการ หรือข้อปฏิบัติอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

หลักการ

บริษัทกำหนดให้มีนโยบายและระเบียบ รวมทั้งแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนกำกับดูแลให้มีการปฏิบัติตามนโยบายและระเบียบ รวมทั้งแนวปฏิบัติอื่นใดที่เกี่ยวข้อง และหาแนวทางพัฒนาปรับปรุงเพื่อให้การนำไปปฏิบัติมีประสิทธิภาพมากขึ้น อีกทั้งเพื่อให้มั่นใจว่ามีการรายงานผลการปฏิบัติงานตามนโยบายและระเบียบ รวมทั้งแนวปฏิบัติที่เกี่ยวข้อง

นโยบาย

    1. การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล

การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล จะกระทำเท่าที่จำเป็น โดยมีวัตถุประสงค์ ขอบเขต ฐานทางกฎหมาย รวมถึงใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม ตามวัตถุประสงค์ในการดำเนินงานของบริษัท และตามที่กฎหมายกำหนดเท่านั้น ทั้งนี้บริษัทจะแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล รวมทั้งขอความยินยอมจากเจ้าของข้อมูลก่อนหรือในขณะดำเนินการดังกล่าว เว้นแต่เป็นกรณีที่กฎหมายกำหนด และ/หรือในกรณีอื่นๆ ตามที่กำหนดไว้ในนโยบายฉบับนี้

อนึ่ง บริษัทจะไม่เก็บรวมรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว เว้นแต่จะได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล หรือเป็นไปตามกรณีที่กฎหมายกำหนด และ/หรือกรณีอื่นๆที่กำหนดไว้ในนโยบายฉบับนี้

    2.การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

เนื่องจากการดำเนินกิจการของบริษัทในปัจจุบัน อาจมีการติดต่อประสานงานหรือดำเนินธุรกรรมกับต่างประเทศ ซึ่งทำให้ในบางครั้งบริษัทจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปยังต่างประเทศ ในการนี้ บริษัทจะใช้ความพยายามอย่างเต็มที่ในการส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปยังพันธมิตรทางธุรกิจ ผู้ให้บริการ คู่ค้า ลูกค้า หรือผู้รับข้อมูลของบริษัทที่มีความน่าเชื่อถือด้วยวิธีการที่ปลอดภัยที่สุดเพื่อรักษาความปลอดภัยของข้อมูลส่วนบุคคล โดยการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเช่นว่านั้น บริษัทจะกระทำเท่าที่จำเป็น โดยมีวัตถุประสงค์ ขอบเขต รวมถึงใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรมตามวัตถุประสงค์ในการดำเนินงานของบริษัท และตามที่กฎหมายกำหนดเท่านั้น ทั้งนี้บริษัทจะแจ้งวัตถุประสงค์ และจะขอความยินยอมจากเจ้าของข้อมูลก่อนหรือในขณะดำเนินการดังกล่าว เว้นแต่เป็นกรณีที่กฎหมายกำหนด และ/หรือในกรณีอื่นๆ ตามที่กำหนดไว้ในนโยบายฉบับนี้

อนึ่ง บริษัทจะไม่ส่งหรือโอนข้อมูลส่วนบุคคลที่มีความอ่อนไหวไปต่างประเทศ เว้นแต่จะได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล หรือเป็นไปตามกรณีที่กฎหมายกำหนด และ/หรือกรณีอื่นๆที่กำหนดไว้ในนโยบายฉบับนี้

    3. แหล่งที่มาของข้อมูลส่วนบุคคล

บริษัทอาจจัดเก็บข้อมูลส่วนบุคคลจากเจ้าของข้อมูลผ่านทางช่องทาง ดังต่อไปนี้

    3.1 บริษัทจัดเก็บรวบรวมข้อมูลจากเจ้าของข้อมูลโดยตรง ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ (1) กรณีที่เจ้าของข้อมูลให้ข้อมูลแก่บริษัทผ่านทางการกรอกแบบฟอร์ม รวมถึงแบบฟอร์มอิเล็กทรอนิกส์ (2) โดยการติดต่อกับบริษัทผ่านทางอีเมล์ (3) โดยการสื่อสารกับบริษัทด้วยตนเอง หรือทางโทรศัพท์ (4) ขณะที่เจ้าของข้อมูลเข้าเยี่ยมชมบริษัท (5) จากการใช้งานเว็บไซต์หรือแอพพลิเคชั่นของบริษัท (6) จากการเข้าร่วมในกิจกรรมกับบริษัท เป็นต้น

    3.2 บริษัทจัดเก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลที่สาม คือกรณีที่บริษัทได้รับข้อมูลส่วนบุคคลจาก

แหล่งข้อมูลอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรง ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ (1) ข้อมูลบุคคลผู้ติดต่อฉุกเฉินหรือบุคคลอ้างอิงถึงในเอกสารการสมัครงาน (2) บริษัทลูกค้า ผู้ร่วมทุน พันธมิตรทางธุรกิจ ข้อมูลบนเว็บไซต์สาธารณะ ข้อมูลจากบริษัทในเครือ หรือข้อมูลจากบุคคลอื่นใด

   3.3 บริษัทจัดเก็บรวบรวมข้อมูลที่เป็นข้อมูลสาธารณะ คือ กรณีที่บริษัทเก็บรวบรวมข้อมูลของเจ้าของข้อมูลจากแหล่งข้อมูลที่เปิดเผยต่อสาธารณะอยู่แล้ว ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ (1) ข้อมูลการจดทะเบียนของบริษัท สมาคม องค์กร (2) ข้อมูลของผู้ได้รับอนุญาตทางด้านตลาดทุน (3) แหล่งข้อมูลสาธารณะอื่นๆ รวมถึงบริการใดๆ ที่สามารถเข้าถึงได้บนอินเทอร์เน็ต

    4. คุณภาพของข้อมูลส่วนบุคคล

บริษัทมีการรวบรวมและจัดเก็บข้อมูลส่วนบุคคล เพื่อนำไปใช้ประโยชน์ภายในอำนาจหน้าที่และวัตถุประสงค์ในการดำเนินงานตามของบริษัท โดยคำนึงถึงความถูกต้อง ครบถ้วน และเป็นปัจจุบันของข้อมูล

    5. วัตถุประสงค์ในการเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

บริษัทจะทำการเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ เพื่อประโยชน์ในการดำเนินงานของบริษัท ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ การจัดซื้อจัดจ้าง การทำสัญญา การทำธุรกรรมทางการเงิน การดำเนินกิจกรรมของบริษัท การติดต่อประสานงานต่างๆ เพื่อปรับปรุงคุณภาพการทำงานของบริษัทให้มีประสิทธิภาพมากขึ้น เช่น การจัดทำฐานข้อมูล วิเคราะห์และพัฒนากระบวนการดำเนินงานของบริษัท เพื่อความจำเป็นในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย เพื่อเป็นหลักฐานในการยกขึ้นเป็นข้อต่อสู้สิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามคำสั่งศาลหรือคำสั่งของหน่วยงานราชการที่มีอำนาจตามกฎหมาย เพื่อผลประโยชน์โดยชอบธรรม และเพื่อวัตถุประสงค์อื่นใดที่ไม่ต้องห้ามตามกฎหมาย และ/หรือ เพื่อปฏิบัติตามกฎหมายหรือระเบียบหรือนโยบายที่เกี่ยวข้องต่อการดำเนินงานของบริษัท

สำหรับข้อมูลส่วนบุคคลที่มีความอ่อนไหว (กรณีที่มีการเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ โดยบริษัทได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล หรือ กรณีเข้าตามข้อยกเว้นที่กำหนดเอาไว้ในกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล) บริษัทได้ดำเนินการเพื่อวัตถุประสงค์เพื่อการคัดกรองโรค หรือประเมินความเสี่ยงที่จะเป็นโรคติดต่อ เพื่อพิจารณาความพร้อมทางร่างกายในการปฏิบัติงาน และเพื่อรายงานตามขั้นตอนที่บริษัทกำหนด หรือตามที่หน่วยงานกำกับดูแล หรือหน่วยงานตามที่กฎหมายกำหนด

อนึ่ง บริษัทจะจัดเก็บ รวมรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ ตามวัตถุประสงค์และหลักเกณฑ์ที่บริษัทกำหนด

    6. ฐานทางกฎหมายในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล

การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลโดยทั่วไป บริษัทดำเนินการภายใต้

ฐานทางกฎหมาย ดังต่อไปนี้

1) การปฏิบัติตามสัญญา หรือเพื่อดำเนินการขั้นตอนต่าง ๆ ตามที่เจ้าของข้อมูลร้องขอก่อนจะเข้าทำสัญญากับบริษัท

2) เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือบุคคลภายนอก โดยที่ประโยชน์ดังกล่าวไม่เกินกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลและเสรีภาพของเจ้าของข้อมูล

3) เป็นการจำเป็นในการปฏิบัติหน้าที่ตามกฎหมาย

4) ความยินยอมที่บริษัทได้รับจากเจ้าของข้อมูลในหนังสือขอความยินยอมให้เก็บรวบรวม ใช้ และเปิดเผย (เอกสารแนบท้าย ภาคผนวก ก.) หรือ

5) ในกรณีอื่นใดที่สามารถทำได้ภายใต้ขอบเขตของกฎหมาย

เฉพาะในกรณีการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว บริษัทดำเนินการ

ภายใต้ฐานทางกฎหมาย ดังต่อไปนี้

1) ความยินยอมโดยชัดแจ้ง ที่บริษัทได้รับจากเจ้าของข้อมูลในหนังสือขอความยินยอมให้เก็บ รวบรวม
ใช้ และ/หรือเปิดเผยประมวลผลข้อมูลส่วนบุคคล (เอกสารแนบท้าย ภาคผนวก ก.)

2) เป็นการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

3) เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตาม

กฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือ

4) กรณีอื่นใดที่สามารถทำได้ภายใต้ขอบเขตของกฎหมาย

    7. ประเภทของบุคคลหรือหน่วยงานที่บริษัทเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล

บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล (เฉพาะเท่าที่จำเป็น) ให้กับบุคคลหรือหน่วยงานภายนอกตามวัตถุประสงค์ที่ได้ระบุไว้ในเอกสารฉบับนี้ โดยบุคคลหรือหน่วยงานภายนอกดังกล่าวอาจตั้งอยู่ในประเทศไทยหรือในต่างประเทศ ดังต่อไปนี้

1) บริษัทในเครือ และสหกรณ์ออมทรัพย์ สหวิริยาอินดัสตรี จำกัด

บริษัทอาจแบ่งปันข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้กับบริษัทในเครือของบริษัท และสหกรณ์ออมทรัพย์สหวิริยาอินดัสตรี จำกัด ทั้งนี้ เพื่อการบริหารความเสี่ยง แลกเปลี่ยนข้อมูลระหว่างกัน การตรวจสอบภายในกลุ่มบริษัท และเพื่อเป็นสวัสดิการของพนักงานบริษัท ได้แก่ บริการให้กู้ยืมเงิน บริการรับฝากเงิน เป็นต้น

2) บุคคลภายนอกซึ่งเป็นผู้ให้บริการที่เกี่ยวข้องกับการดำเนินการของบริษัท

บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้กับบุคคลดังกล่าว ไม่ว่าบุคคลนั้นจะทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ตัวอย่างเช่น ผู้ให้บริการจัดทำบัญชี ธนาคารผู้ให้บริการเทคโนโลยีสารสนเทศ ผู้ให้บริการคลาวด์ (Cloud) ผู้ให้บริการจัดเก็บข้อมูลหรือเอกสาร ผู้ให้บริการแอพพลิเคชั่น  ผู้ให้บริการสถานที่ และที่จอดรถ เป็นต้น

3) หน่วยงานของรัฐที่เกี่ยวข้อง

บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลกับเจ้าหน้าที่รัฐและหน่วยงานรัฐบาล ซึ่งมีอำนาจตามกฎหมาย หรือเพื่อการปกป้องสิทธิของบริษัท สิทธิของบุคคลอื่น หรือเพื่อประโยชน์ของเจ้าของข้อมูลเช่น สำนักงานการตรวจเงินแผ่นดิน กรมบัญชีกลาง ศาลยุติธรรม กรมสรรพากร กรมบังคับคดี เป็นต้น

4) บุคคลหรือหน่วยงานภายนอกอื่น ๆ

บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลแก่บุคคลหรือหน่วยงานภายนอกให้เข้าถึงข้อมูล

ส่วนบุคคลของเจ้าของข้อมูล ตัวอย่างเช่น ที่ปรึกษาวิชาชีพ (เช่น ที่ปรึกษากฎหมายหรือผู้ตรวจสอบ ภายนอก) และหน่วยงานภายนอกที่บริษัทประสงค์จะประชาสัมพันธ์ ตามวัตถุประสงค์ที่ได้ระบุไว้ข้างต้น

    8. การดำเนินการของผู้ประมวลผลข้อมูลส่วนบุคคล

กรณีที่บริษัททำสัญญาจ้างบุคคลภายนอกเพื่อประมวลผลข้อมูล บริษัทจะตรวจสอบให้ผู้ประมวลข้อมูลส่วนบุคคลดำเนินการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของบริษัทเท่านั้น รวมทั้งควบคุมให้การดำเนินงานเป็นไปโดยชอบด้วยกฎหมายและพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีความเหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้ง จะต้องรายงานให้บริษัททราบโดยทันที และจะต้องจัดให้มีมาตรการเยียวยาความเสียหายที่เกิดขึ้นจากเหตุเช่นว่านั้นต่อเจ้าของข้อมูลโดยพลัน

    9. ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้

บริษัทจะไม่เก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่สอดคล้องกับวัตถุประสงค์ของการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูล หรือเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดให้กระทำได้

    10.การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

บริษัทมีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ดัดแปลง แก้ไข หรือเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับอนุญาต หรือโดยไม่ชอบด้วยกฎหมาย

ในกรณีที่มีเหตุการณ์ละเมิดต่อข้อมูลส่วนบุคคล  บริษัทจะดำเนินการแจ้งแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล บริษัทจะดำเนินการแจ้งเจ้าของข้อมูลพร้อมกับแนวทางการเยียวยาให้ทราบโดยไม่ชักช้าด้วย ทั้งนี้ เป็นไปตามเงื่อนไขและหลักเกณฑ์ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือประกาศ หรือกฎ หรือระเบียบที่ออกตามกฎหมายดังกล่าว

    11. สิทธิของเจ้าของข้อมูลส่วนบุคคล

บริษัทกำหนดให้เจ้าของข้อมูลมีสิทธิขอสำเนาเกี่ยวกับข้อมูลส่วนบุคคลของตนเองได้ ในกรณีที่ข้อมูลส่วนบุคคลไม่ถูกต้อง เจ้าของข้อมูลสามารถแจ้งเพื่อให้มีการแก้ไข เปลี่ยนแปลง ขอเพิกถอนความยินยอม ระงับการใช้ข้อมูลส่วนบุคคลระหว่างรอการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล ลบหรือทำลาย หรือทำให้ไม่สามารถระบุตัวเจ้าของข้อมูลนั้นได้ รวมทั้งขอให้โอนย้ายข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น โดยบริษัทจะจัดทำบันทึกคำคัดค้านการจัดเก็บ การแก้ไขความถูกต้องของข้อมูล หรือการกระทำใดๆ ที่เกี่ยวกับข้อมูลส่วนบุคคลไว้เป็นหลักฐาน

นอกจากนี้ เจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่บริษัทฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือประกาศ หรือกฎ หรือระเบียบที่ออกตามกฎหมายดังกล่าว

กรณีที่เจ้าของข้อมูลมีความประสงค์จะใช้สิทธิดังกล่าวข้างต้น สามารถยื่นคำร้องขอใช้สิทธิต่อบริษัทตามแบบฟอร์มที่บริษัทกำหนด (เอกสารแนบท้าย ภาคผนวก ข.) ผ่านช่องทางการติดต่อของบริษัทดังที่ได้ระบุเอาไว้ด้านล่าง ทั้งนี้ เจ้าของข้อมูลไม่จำเป็นต้องเสียค่าใช้จ่ายสำหรับการดำเนินการตามสิทธิข้างต้น

    12. ข้อสงวนสิทธิ

บริษัทขอสงวนสิทธิในการปฏิเสธคำร้องขอใช้สิทธิของเจ้าของข้อมูล ตามข้อ 11. ในกรณีดังต่อไปนี้

12.1 กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือกฎหมายอื่นที่เกี่ยวข้องกำหนดให้สามารถดำเนินการได้

12.2 ข้อมูลส่วนบุคคลถูกทำให้ไม่ปรากฏชื่อหรือบอกลักษณะอันสามารถระบุตัวเจ้าของข้อมูลได้

12.3 ผู้ยื่นคำร้องไม่มีหลักฐานยืนยันว่าเป็นเจ้าของข้อมูลหรือเป็นผู้มีอำนาจในการยื่นคำร้องดังกล่าว

12.4 คำร้องดังกล่าวเป็นคำร้องขอฟุ่มเฟือย เช่น เป็นคำร้องขอที่มีลักษณะเดียวกันหรือมีเนื้อหาเดียวกัน
ซ้ำๆ โดยไม่มีเหตุอันสมควร เป็นต้น

12.5 กรณีที่มีเหตุจำเป็นประการอื่น เช่น ต้องปฏิบัติตามคำสั่งศาล หรือพนักงาน หรือเจ้าหน้าที่ของ

หน่วยงานรัฐที่เกี่ยวข้อง การดำเนินการเป็นไปเพื่อประโยชน์สาธารณะ การใช้สิทธิอาจละเมิดสิทธิ
หรือเสรีภาพของบุคคลอื่น เป็นต้น

อนึ่ง บริษัทจะแจ้งเหตุผลในการปฏิเสธคำร้องขอให้เจ้าของข้อมูลทราบด้วย

    13. แนวปฏิบัติว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะกำหนดแนวปฏิบัติเรื่องต่างๆ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อใช้บังคับต่อไป

    14. การใช้คุกกี้

หากบริษัทมีความจำเป็นต้องเก็บ รวบรวม ข้อมูลที่เกี่ยวข้องกับการเข้าสู่เว็บไซต์ และ/หรือ แอพพลิเคชั่น ของเจ้าของข้อมูล ซึ่งจะถูกบันทึกไว้ในรูปแบบของคุกกี้ บริษัทจะดำเนินการประกาศใช้นโยบายการใช้คุกกี้ต่อไป

อนึ่ง นโยบายการใช้คุกกี้ของบริษัทอย่างน้อยจะต้องกำหนดรายละเอียด เกี่ยวกับคำนิยามและความหมายของคุกกี้ การทำงาน วัตถุประสงค์ รวมถึงการลบและการปฏิเสธการเก็บคุกกี้ เพื่อความเป็นส่วนตัวของเจ้าของข้อมูล และจะต้องกำหนดให้มีข้อความแจ้งเตือนเจ้าของข้อมูลเมื่อเข้าสู่เว็บไซต์ และ/หรือแอพพลิเคชั่นของบริษัทว่า เจ้าของข้อมูลยอมรับและได้อนุญาตให้บริษัทใช้คุกกี้ได้ตามนโยบายที่บริษัทกำหนดแล้ว

    15. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามระยะเวลาที่เหมาะสมและจำเป็น สำหรับข้อมูลส่วนบุคคลแต่ละประเภทและวัตถุประสงค์ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามอายุความหรือระยะเวลาที่กฎหมายกำหนด (เช่น กฎหมายบริษัทมหาชนจำกัด กฎหมายหลักทรัพย์และตลาดหลักทรัพย์ กฎหมายป้องกันและปราบปรามการฟอกเงิน กฎหมายการบัญชี กฎหมายภาษีอากร กฎหมายแรงงาน และกฎหมายอื่นที่บริษัทฯต้องปฏิบัติตาม ทั้งในประเทศไทยและต่างประเทศ นอกจากนี้ บริษัทอาจจะจำเป็นต้องเก็บบันทึกข้อมูลจากกล้องโทรทัศน์วงจรปิดที่สำนักงานใหญ่ สำนักงานสาขา หรือโรงงานที่ผลิต เพื่อประโยชน์ในการป้องกันเหตุทุจริตและการรักษาความปลอดภัย) เมื่อพ้นกำหนดระยะเวลาการเก็บรักษาดังกล่าว บริษัทจะลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้

อนึ่ง บริษัทจะเก็บ รักษา รวมทั้งทำลายข้อมูลส่วนบุคคล ตามวัตถุประสงค์แหลักเกณฑ์ที่บริษัทกำหนด

    16. การดำเนินการต่อข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม

บริษัทมีสิทธิเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่บริษัทได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ในส่วนที่เกี่ยวข้องกับการเก็บรวบรวม การใช้ และ/หรือการเปิดเผยข้อมูลส่วนบุคคลมีผลใช้บังคับต่อไปตามวัตถุประสงค์เดิม หากเจ้าของข้อมูลไม่ประสงค์ที่จะให้บริษัทเก็บรวมรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวต่อไป เจ้าของข้อมูลสามารถแจ้งบริษัทเพื่อขอถอนความยินยอมของเจ้าของข้อมูลเมื่อใดก็ได้

    17.การทบทวนและเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล

บริษัทสามารถแก้ไข ยกเลิก เปลี่ยนแปลง หรือ ปรับปรุงนโยบายและระเบียบนี้ได้ เพื่อให้สอดคล้องกับข้อกำหนดตามกฎหมาย การเปลี่ยนแปลงการดำเนินงานของบริษัท รวมทั้งข้อเสนอแนะและความคิดเห็นจากหน่วยงานต่างๆ ตามความเหมาะสมตามควรแก่กรณี โดยบริษัทจะประกาศแจ้งให้ทราบก่อนเริ่มดำเนินการหรืออาจส่งประกาศแจ้งเตือนให้เจ้าของข้อมูลทราบตามช่องทางการสื่อสารของบริษัท

    18.ช่องทางการติดต่อบริษัท

คณะทำงานกำกับดูแลการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (“คณะทำงาน PDPA”)
สถานที่ติดต่อ : เลขที่ 28/1 อาคารประภาวิทย์ ชั้น 2-3 ถนนสุรศักดิ์ แขวงสีลม เขตบางรัก กรุงเทพฯ 10500
ช่องทางการติดต่อ : ssi_dpo@ssi-steel.com

รายละเอียดของหน่วยงานที่กำกับดูแล
กรณีที่บริษัท หรือลูกจ้าง หรือพนักงานของบริษัท ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถร้องเรียนต่อหน่วยงานที่กำกับดูแล ตามรายละเอียดดังต่อไปนี้

ชื่อ : สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
สถานที่ติดต่อ : 120 หมู่ 3 ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษาฯ อาคารรัฐประศาสนภักดี (อาคารบี)
ชั้น 7 ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพฯ 10210
โทรศัพท์ : 02 141 6993, 02 142 1033
ช่องทางการติดต่อ : pdpc@mdes.go.th