นโยบายการคุ้มครองข้อมูลส่วนบุคคล

ประกาศบริษัท ราช กรุ๊ป จำกัด (มหาชน)

ที่ 2/2565

เรื่อง นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

บริษัท ราช กรุ๊ป จำกัด (มหาชน) (“บริษัท”) ตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคล และมีจุดมุ่งหมายที่จะให้มีการบริหารจัดการข้อมูลส่วนบุคคลตั้งแต่การเก็บรวบรวม ใช้ เปิดเผย รวมถึงการเก็บรักษาข้อมูลส่วนบุคคลให้มีความมั่นคงปลอดภัย และมีความชัดเจนในการนำไปปฏิบัติได้อย่างมีประสิทธิภาพ สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงฉบับแก้ไขเพิ่มเติม กฎ ระเบียบ ประกาศ หรือคำสั่งที่เกี่ยวข้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (รวมเรียกว่า “กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล”) ทำให้เกิดความน่าเชื่อถือและเพื่อเป็นการป้องกันผลกระทบต่อบุคลากรในทุกระดับของบริษัท รวมถึงกรรมการและผู้บริหารของบริษัท กรรมการผู้จัดการใหญ่จึงให้ยกเลิกประกาศบริษัท ราช กรุ๊ป จำกัด (มหาชน) ที่ 3/2564 เรื่อง นโยบายคุ้มครองข้อมูลส่วนบุคคล สำหรับบริษัท ราช กรุ๊ป จำกัด (มหาชน) ฉบับลงวันที่ 8 กุมภาพันธ์ 2564 และเห็นสมควรกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทขึ้น โดยมีสาระสำคัญดังต่อไปนี้

1. กรรมการ ผู้บริหาร และพนักงานทุกคนของบริษัท ต้องปฏิบัติตามกฎหมาย นโยบาย ระเบียบ ข้อกำหนด คู่มือ หรือแนวปฏิบัติใด ๆ ของบริษัท ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด
2. กรรมการและผู้บริหารในทุกหน่วยงาน ต้องส่งเสริมให้พนักงานของบริษัท ตระหนักและเข้าใจถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และส่งเสริมให้มีการบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลในทุกระดับขององค์กร รวมถึงจัดให้มีมาตรการควบคุมภายในที่มีประสิทธิภาพ เพื่อป้องกันการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
3. บริษัทกำหนดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) เพื่อทำหน้าที่ให้คำแนะนำ คำปรึกษา และตรวจสอบการดำเนินงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล รวมถึงทำหน้าที่ประสานงาน และให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยผู้บริหารของบริษัทต้องสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) โดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวย ความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ได้อย่างเหมาะสม
4. การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย เพื่อการประมวลผลข้อมูลส่วนบุคคลของบริษัทเท่านั้น
5. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยชัดแจ้ง และต้องแจ้งรายละเอียดที่จำเป็นให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
6. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องเป็นไปตามวัตถุประสงค์ที่ได้แจ้งไว้ ต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะที่มีการเก็บรวบรวมข้อมูล เว้นแต่กฎหมายจะกำหนดไว้เป็นอย่างอื่น และต้องไม่เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่ ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือได้รับการยกเว้นตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
7. ทุกหน่วยงานในบริษัท ต้องจัดทำและเก็บรักษาบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Data Inventory) ตามหลักเกณฑ์และวิธีการที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) สามารถตรวจสอบได้ โดยบริษัทต้องดำเนินการให้บันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Data Inventory) ดังกล่าวมีความถูกต้อง ครบถ้วน เป็นปัจจุบัน และสมบูรณ์อยู่เสมอ
8. ทุกหน่วยงานในบริษัทต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ที่เพียงพอเหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของบริษัทโดยมิชอบ รวมถึงจัดให้มีการทบทวนและตรวจสอบมาตรการดังกล่าว อย่างสม่ำเสมอ หรือเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มั่นใจได้ว่าบริษัทมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีประสิทธิภาพ เพียงพอ เหมาะสม และเป็นไปตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
9. ทุกหน่วยงานในบริษัทต้องจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือเมื่อมีการเก็บข้อมูลส่วนบุคคลที่ไม่เกี่ยวข้องหรือ เกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น เว้นแต่เป็นการเก็บรักษา ตามวัตถุประสงค์ที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
10. กรณีที่หน่วยงานในบริษัทจำเป็นต้องใช้ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามบริษัท ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล และป้องกันมิให้ผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าวใช้หรือเปิดเผยข้อมูล ส่วนบุคคลที่บริษัทเปิดเผยหรือโอนไปให้โดยมิชอบหรือเกินขอบเขตที่กำหนด
11. การเปิดเผยข้อมูลส่วนบุคคลให้แก่หน่วยงานหรือบุคคลภายนอก เมื่อมีการขอเข้าถึงหรือขอให้เปิดเผยข้อมูลส่วนบุคคลที่อยู่ในครอบครองของบริษัท เช่น หน่วยงานของรัฐ หน่วยงานกำกับดูแล หรือเจ้าพนักงานซึ่งใช้อำนาจตามกฎหมาย เป็นต้น บริษัทจะต้องมั่นใจว่าการเปิดเผยดังกล่าวได้รับ ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีที่เป็นการเปิดเผยข้อมูลส่วนบุคคลที่ได้รับยกเว้น ไม่ต้องขอความยินยอมตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เช่น เพื่อการปฏิบัติตามกฎหมาย หรือเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูลไม่สามารถให้ ความยินยอมได้ หรือเป็นการจำเป็นเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย เป็นต้น แล้วแต่กรณี ทั้งนี้ บริษัทจะต้องจัดทำบันทึกรายการการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวไว้ด้วย
12. กรณีที่บริษัทจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ จะต้องมั่นใจว่าประเทศปลายทางที่รับข้อมูลส่วนบุคคลมีมาตรฐานคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
13. หน่วยงานที่เกี่ยวข้องในบริษัท ต้องดำเนินการใด ๆ เพื่อรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล รวมถึงจัดให้มีระบบการตรวจสอบการดำเนินการดังกล่าว เพื่อให้มั่นใจว่าบริษัทมีการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสมโดยไม่ชักช้า และอยู่ภายในระยะเวลาที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด ในกรณีที่มี การปฏิเสธคำร้องขอของเจ้าของข้อมูลส่วนบุคคล ต้องมีการจัดทำบันทึกรายการการปฏิเสธคำร้องขอใช้สิทธิ ของเจ้าของข้อมูลส่วนบุคคลดังกล่าวพร้อมเหตุผลไว้ด้วย
14. ทุกหน่วยงานในบริษัทต้องให้ความร่วมมือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ในกรณีที่การละเมิดนั้นมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะต้องแจ้งเหตุการละเมิดนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางการเยียวยาโดยไม่ชักช้า
15. ทุกหน่วยงานในบริษัทต้องให้ความร่วมมือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เมื่อถูกร้องขอให้ส่งเอกสารหรือข้อมูลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการชี้แจงข้อเท็จจริง เพื่อสนับสนุนการตรวจสอบและการปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ บังคับใช้กับบุคลากรในทุกระดับของบริษัท รวมถึงกรรมการและผู้บริหารของบริษัท โดยทุกคนต้องเข้าใจและปฏิบัติตามนโยบายฉบับนี้ อีกทั้งผู้บริหาร ในทุกระดับต้องเป็นแบบอย่างที่ดี สนับสนุน และผลักดันให้เกิดการปฏิบัติอย่างจริงจังทั่วทั้งองค์กร โดยมีรายละเอียดประกาศความเป็นส่วนตัว แบบขอความยินยอม และสัญญาอื่น ๆ แนบท้ายประกาศนี้

จึงประกาศมาเพื่อทราบและถือปฏิบัติโดยทั่วกัน

ประกาศ ณ วันที่ 8 เมษายน 2565

กรรมการผู้จัดการใหญ่