นโยบายการคุ้มครองข้อมูลส่วนบุคคล

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

 

วัตถุประสงค์

บริษัทตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ของพนักงาน ลูกค้า คู่ค้าธุรกิจ และบุคคลอื่นที่สามารถระบุตัวตนได้ ดังนั้น บริษัทจึงได้จัดทำนโยบายและระเบียบด้านการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น เพื่อให้การดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงมีการปกป้องข้อมูลส่วนบุคคลจากการถูกนำไปใช้ในทางที่ผิดและรักษาข้อมูลดังกล่าวให้ปลอดภัยตามมาตรฐานสากล

คำนิยาม

“บริษัท” หมายถึง บริษัท สหวิริยาสตีลอินดัสตรี จำกัด (มหาชน)
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ เช่น ชื่อ สกุล ที่อยู่ วันเดือนปีเกิด เพศ ประวัติการศึกษา หมายเลขโทรศัพท์ เลขประจำตัวประชาชน เลขหมาย รหัส และให้หมายความรวมถึงข้อมูลอื่นใดเกี่ยวกับบุคคลใดบุคคลหนึ่งซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม

“เจ้าของข้อมูล” หมายถึง บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล เช่น พนักงาน ลูกค้า คู่ค้า เป็นต้น

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง ผู้ที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งก็คือพนักงานที่เกี่ยวข้องกับข้อมูล เช่น พนักงาน HR พนักงานจัดซื้อจัดจ้าง พนักงานขาย เป็นต้น

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง ผู้ที่มีอำนาจเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล เช่น พนักงาน IT เป็นต้น

“ผู้ใช้บริการ” หมายถึง บุคคลหรือนิติบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล ที่เข้ามาติดต่อยังระบบสารสนเทศของบริษัท

“ระบบข้อมูลสารสนเทศ” หมายถึง ระบบคอมพิวเตอร์ ระบบเครือข่ายติดต่อสื่อสาร ระบบเครือข่ายเชื่อมต่อเข้าระบบอินเทอร์เน็ต ระบบเก็บข้อมูล ระบบจดหมายอิเล็กทรอนิกส์ (E-mail) ระบบสื่อสารข้อมูลทุกประเภท ข้อมูลอุปกรณ์สื่อสาร อุปกรณ์คอมพิวเตอร์ และอุปกรณ์ต่อพ่วง หรืออุปกรณ์ใดๆ ที่เกี่ยวข้องอันเป็นกรรมสิทธิ์ของบริษัท และ/หรือที่บริษัทได้รับอนุญาตให้ใช้ได้ตามกฎหมาย

หลักการ

บริษัทกำหนดให้มีนโยบายและระเบียบ รวมทั้งแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนกำกับดูแลให้มีการปฏิบัติตามนโยบายและระเบียบ รวมทั้งแนวปฏิบัติอื่นใดที่เกี่ยวข้อง และหาแนวทางพัฒนาปรับปรุงเพื่อให้การนำไปปฏิบัติมีประสิทธิภาพมากขึ้น อีกทั้งเพื่อให้มั่นใจว่ามีการรายงานผลการปฏิบัติงานตามนโยบายและระเบียบ รวมทั้งแนวปฏิบัติที่เกี่ยวข้อง

นโยบาย

1. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะกระทำเท่าที่จำเป็น โดยมีวัตถุประสงค์ ขอบเขต และใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม ตามวัตถุประสงค์ในการดำเนินงานของบริษัท และตามที่กฎหมายกำหนดเท่านั้น ทั้งนี้บริษัทจะแจ้งวัตถุประสงค์ในการจัดเก็บข้อมูลส่วนบุคคลและขอความยินยอมจากเจ้าของข้อมูลก่อนทำการเก็บรวบรวมและจัดเก็บข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีที่กฎหมายกำหนด และ/หรือในกรณีอื่นๆ ตามที่กำหนดไว้ในนโยบายฉบับนี้

2. คุณภาพของข้อมูลส่วนบุคคล
บริษัทมีการรวบรวมและจัดเก็บข้อมูลส่วนบุคคล เพื่อนำไปใช้ประโยชน์ภายในอำนาจหน้าที่และวัตถุประสงค์ในการดำเนินงานตามของบริษัท โดยคำนึงถึงความถูกต้อง ครบถ้วน และเป็นปัจจุบันของข้อมูล

3. วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามหลักเกณฑ์ที่บริษัทกำหนด โดยจะมีการบันทึกวัตถุประสงค์ของการจัดเก็บรวบรวมข้อมูลส่วนบุคคลไว้อย่างชัดเจน และกำหนดให้มีการบันทึกการแก้ไขเพิ่มเติมหากมีการเปลี่ยนแปลงวัตถุประสงค์ในการจัดเก็บข้อมูลส่วนบุคคล

4. ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้
บริษัทจะไม่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่สอดคล้องกับวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูล หรือเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดให้กระทำได้

5. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัทมีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ดัดแปลง แก้ไข หรือเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับอนุญาต หรือโดยไม่ชอบด้วยกฎหมาย
ในกรณีที่ข้อมูลส่วนบุคคลมีการรั่วไหลสู่สาธารณะ บริษัทจะดำเนินการแจ้งเจ้าของข้อมูลให้ทราบโดยไม่ชักช้า

6. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
บริษัทกำหนดให้เจ้าของข้อมูลมีสิทธิขอสำเนาเกี่ยวกับข้อมูลส่วนบุคคลของตนเองได้ ในกรณีที่ข้อมูลส่วนบุคคลไม่ถูกต้อง เจ้าของข้อมูลสามารถแจ้งเพื่อให้มีการแก้ไข เปลี่ยนแปลง ขอเพิกถอนความยินยอม ลบหรือทำลายข้อมูลส่วนบุคคลนั้นได้ โดยบริษัทจะจัดทำบันทึกคำคัดค้านการจัดเก็บ การแก้ไขความถูกต้องของข้อมูล หรือการกระทำใดๆ ที่เกี่ยวกับข้อมูลส่วนบุคคลไว้เป็นหลักฐาน

7. ความรับผิดชอบของบุคคลซึ่งทำหน้าที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
บริษัทกำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องให้ความสำคัญและรับผิดชอบในการจัดเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามนโยบายและระเบียบ รวมทั้งแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลที่กำหนดไว้อย่างเคร่งครัด

8. แนวปฏิบัติว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล
บริษัทจะกำหนดแนวปฏิบัติเรื่องต่างๆ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อใช้บังคับต่อไป

9. บทลงโทษ
ผู้มีหน้าที่รับผิดชอบในการดำเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของตน หากละเลย หรือละเว้นไม่สั่งการ หรือไม่ดำเนินการ หรือสั่งการ หรือดำเนินการอย่างใดอย่างหนึ่งตามหน้าที่ของตน อันเป็นการฝ่าฝืนนโยบายและระเบียบ รวมทั้งแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล จนเป็นเหตุให้เกิดความผิดตามกฎหมาย และ/หรือความเสียหายขึ้น ผู้นั้นต้องรับโทษทางวินัยตามระเบียบของบริษัท และต้องรับโทษทางกฎหมายตามความผิดที่เกิดขึ้น ทั้งนี้หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัท และ/หรือบุคคลอื่นใด บริษัทอาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป

10. การทบทวน
บริษัทสามารถแก้ไข ยกเลิก เปลี่ยนแปลง หรือ ปรับปรุงนโยบายและระเบียบนี้ได้ เพื่อความเหมาะสมตามควรแก่กรณี