กลุ่มบริษัท เอเอสซี กรุ๊ป ( ASC Group ) ซึ่งประกอบไปด้วย บริษัท แอดวานซ์ ซิสเต็มส์ คอนซัลติ้ง จำกัด บริษัท แอดวานซ์ เพอซเนล แอนด์ โซลูชั่น จำกัด บริษัท แอดวานซ์ แอดมินนิสเตรชั่น จำกัด บริษัท แอดวานซ์ ไอเซอร์วิส จำกัด บริษัท แอดวานซ์ เอาท์ซอร์สซิ่ง เซอร์วิสเซส จำกัด ต่อจากนี้ ในนโยบายฉบับนี้จะเรียกว่า “บริษัท” ซึ่งให้ความสำคัญกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จึงได้จัดทำนโยบายความเป็นส่วนตัวขึ้น เพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และแจ้งทราบ ถึงวัตถุประสงค์และรายละเอียดในการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลตลอดจนถึงสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
นโยบายความเป็นส่วนตัวฉบับนี้ใช้สำหรับ พนักงานและบุคคลากรของกลุ่มบริษัท ASC Group เพื่อทราบถึงวัตถุประสงค์และรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลตลอดจนสิทธิตามกฎหมาย ของเจ้าของข้อมูลส่วนบุคคล และให้ปฏิบัติตามนโยบายนี้
2.1 ข้อมูลส่วนบุคคล
หมายถึง ข้อมูลที่สามารถระบุตัวตนของท่านได้ ไม่ว่าทางตรงหรือทางอ้อม และอื่น ๆ ที่เชื่อมโยงกับตัวตนของบุคคล (แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม)
2.2 ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data)
ข้อมูลส่วนบุคคลประเภทอ่อนไหว (Sensitive Personal Data) หมายถึง ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเรื่องส่วนตัวที่ละเอียดอ่อน ซึ่งหากถูกเปิดเผยหรือนำไปใช้ในทางที่ผิด อาจส่งผลกระทบต่อเจ้าของข้อมูลอย่างร้ายแรง เช่น การถูกเลือกปฏิบัติ การถูกคุกคาม หรือการสูญเสียโอกาสต่างๆ เช่น
2.3 ข้อมูลผู้เยาว์ ข้อมูลผู้เสมือนไร้ความสามารถ
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ที่มีอายุไม่เกิน 20 ปีซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนบุคคลซึ่งบรรลุนิติภาวะ ต้องขอความยินยอมจากผู้เยาว์และหรือผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย ในกรณีผู้เยาว์ที่มีอายุไม่เกิน 10 ปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าวต้องขอความยินยอมจากผู้พิทักษ์ผู้ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
ในกรณีที่ได้จัดเก็บข้อมูลมาโดยความไม่ตั้งใจ จะต้องดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลนั้นหรือทำให้พิสูจน์ตัวตนไม่ได้โดยทันที หรือเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลเหล่านั้นเฉพาะกรณีที่บริษัทสามารถอาศัยฐานทางกฎหมายอื่นโดยไม่ต้องอาศัยความยินยอม
ซึ่งในนโยบายฉบับนี้ จะเรียกข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลอ่อนไหว ข้อมูลผู้เยาว์ ข้อมูลผู้เสมือนไร้ความสามารถว่า “ข้อมูลส่วนบุคคล”
บริษัทจะดำเนินการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย ทั้งนี้ ฐานทางกฎหมายที่บริษัทอาจใช้อ้างอิงประกอบการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมีดังต่อไปนี้
3.1 ฐานการขอความยินยอม (Consent):
3.2 ฐานการปฏิบัติตามสัญญา (Contract):
3.3 ฐานการปฏิบัติตามกฎหมาย (Legal Obligation):
3.4 ฐานการป้องกันอันตรายต่อชีวิต (Vital Interest):
3.5 ฐานการปฏิบัติภารกิจของรัฐ (Public Task):
3.6 ฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest):
3.7 ฐานจดหมายเหตุ/วิจัย/สถิติ (Historical Document, Research, or Statistics):
การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนดให้ขอความยินยอมและต้องแจ้งวัตถุประสงค์ที่ใช้ในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือระหว่างจัดเก็บข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่ได้มากจากแหล่งอื่นจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบแหล่งข้อมูลที่ได้มาภายใน 30 วัน
ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล จัดเก็บไว้เท่าที่จำเป็นเพื่อวัตถุประสงค์ในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ตามระยะเวลาที่มีความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคล และอาจเก็บไว้ตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความทางกฎหมาย เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามกฎหมายหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
ข้อมูลส่วนบุคคลทั่วไปที่หมดความสัมพันธ์ตามวัตถุประสงค์แล้ว สามารถจัดเก็บข้อมูลไว้ได้ไม่น้อยกว่า 2 ปี หรือสามารถจัดเก็บไว้ได้ 10 ปีตามกฎหมายแพ่งและพาณิชย์ หรือจนกว่าการจะสิ้นสุดอายุความ
ข้อมูลประวัติอาชญากรรม จัดเก็บได้ไม่เกิน 6 เดือนนับจากสิ้นวัตถุประสงค์การใช้งาน โดยให้ลบ ทำลายข้อมูลประวัติอาชญากรรม ให้ไม่สามารถระบุตัวตนเจ้าของข้อมูลได้ แต่ถ้าองค์กรต้องการจะจัดเก็บเอาไว้นานกว่าที่กฎหมายกำหนดอาจพิจารณาถึงความจำเป็นของการจัดเก็บข้อมูล และต้องขอความยินยอมกับเจ้าของข้อมูลส่วนบุคคลอย่างชัดเจนกับระยะเวลาที่ต้องการจัดเก็บและระบุวัตถุประสงค์ในการเก็บเกินกว่าที่กฎหมายกำหนดอย่างชัดเจนด้วย
การจัดเก็บข้อมูลส่วนบุคคล ตามมาตรฐานความมั่นคงปลอดภัยทางไซเบอร์ หรือเรียกว่า CIA Triad (Confidentiality) การรักษาความลับ (Integrity) ความถูกต้องและความครบถ้วน (Availability) ความพร้อมใช้งาน ซึ่งมีความหมายดังนี้
Confidentiality การรักษาความลับ หมายถึงการปกป้องข้อมูลหรือระบบให้สามารถเข้าถึงได้เฉพาะผู้ที่มีสิทธิ์เท่านั้น เช่น การใช้การเข้ารหัส (Encryption) การควบคุมการเข้าถึง (Access Control) เพื่อป้องกันข้อมูลจากการถูกเปิดเผยหรือเข้าถึงโดยไม่ได้รับอนุญาต
Integrity ความถูกต้องและความครบถ้วน หมายถึงการป้องกันไม่ให้ข้อมูลหรือระบบถูกดัดแปลงแก้ไข โดยไม่ได้รับอนุญาต และการตรวจสอบให้แน่ใจว่าข้อมูลที่เก็บไว้หรือส่งต่อยังคงความถูกต้องและครบถ้วนเสมอ เช่นการใช้แฮช (Hashing) การสำรองข้อมูล (Backup) และการตรวจสอบความถูกต้องของข้อมูล (Data Validation)
Availability ความพร้อมใช้งาน หมายถึงการทำให้ข้อมูลหรือระบบสามารถเข้าถึงและใช้งานได้เมื่อผู้ใช้ต้องการ เช่น การมีระบบสำรองไฟฟ้า (UPS) การป้องกัน DDoS (Distributed Denial of Service) และการมีแผนการกู้คืนระบบ (Disaster Recovery Plan)
การเปิดเผยข้อมูลส่วนบุคคล จะต้องเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งและขอความยินยอมเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลไว้ การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ต้องได้รับความยินยอมในบางกรณี เพื่อที่จะปฏิบัติตามข้อผูกพันทางกฎหมาย ตามที่กฎหมายบังคับใช้ หรือเพื่อที่จะตอบสนองต่อกระบวนการทางกฎหมายโดยชอบ เช่น หมายค้น คำสั่งศาล หรือหมายเรียก ซึ่งรวมถึงกรณีที่บริษัทจำเป็นสำหรับประโยชน์โดยชอบด้วยกฎหมายอันเกี่ยวกับความมั่นคงของประเทศ การบังคับใช้กฎหมาย การฟ้องร้องคดี การสอบสวนทางอาญา การคุ้มครองความปลอดภัยของบุคคลใดๆ หรือเพื่อป้องกันการเสียชีวิตหรือการเป็นอันตรายแก่ร่างกาย หากบริษัทเห็นว่าประโยชน์โดยชอบด้วยกฎหมายหรือสิทธิและเสรีภาพขั้นพื้นฐานที่กำหนดให้ต้องมีการคุ้มครองข้อมูลส่วนบุคคล
8.1 สิทธิได้รับการแจ้งให้ทราบ (Right to be informed): เจ้าของข้อมูลมีสิทธิที่จะได้รับทราบรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตน เช่น วัตถุประสงค์ของการเก็บรวบรวม ผู้ควบคุมข้อมูล และระยะเวลาในการเก็บรักษา
8.2 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of access): เจ้าของข้อมูลมีสิทธิที่จะขอเข้าถึงและขอสำเนาข้อมูลส่วนบุคคลของตนที่ผู้ควบคุมข้อมูลเก็บรวบรวมไว้
8.3 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to rectification): เจ้าของข้อมูลมีสิทธิที่จะขอให้แก้ไขข้อมูลส่วนบุคคลของตนที่ไม่ถูกต้อง หรือไม่สมบูรณ์
8.4 สิทธิในการลบข้อมูลส่วนบุคคล (Right to erasure): เจ้าของข้อมูลมีสิทธิที่จะขอให้ลบข้อมูลส่วนบุคคลของตนในบางกรณี เช่น เมื่อข้อมูลนั้นหมดความจำเป็น หรือเมื่อเจ้าของข้อมูลถอนความยินยอม
8.5 สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (Right to restriction of processing): เจ้าของข้อมูลมีสิทธิที่จะขอให้ระงับการใช้ข้อมูลส่วนบุคคลของตนในบางกรณี เช่นเมื่อเจ้าของข้อมูลคัดค้านการประมวลผล หรือเมื่อข้อมูลนั้นไม่ถูกต้อง
8.6 สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (Right to data portability): เจ้าของข้อมูลมีสิทธิที่จะขอให้โอนย้ายข้อมูลส่วนบุคคลของตนไปยังผู้ควบคุมข้อมูลรายอื่น ในกรณีที่สามารถทำได้โดยวิธีการทางอิเล็กทรอนิกส์
8.7 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to object): เจ้าของข้อมูลมีสิทธิที่จะคัดค้านการประมวลผลข้อมูลส่วนบุคคลของตนในบางกรณี เช่น เมื่อการประมวลผลนั้นทำเพื่อวัตถุประสงค์ทางการตลาดโดยตรง
8.8 สิทธิในการถอนความยินยอม (Right to withdraw consent): เจ้าของข้อมูลมีสิทธิที่จะขอเข้าถึงและขอสำเนาข้อมูลส่วนบุคคลของตนที่ผู้ควบคุมข้อมูลเก็บรวบรวมไว้
8.2 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of access): ในกรณีที่ผู้ควบคุมข้อมูลอาศัยฐานความยินยอมในการประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิที่จะถอนความยินยอมเมื่อใดก็ได้
การถอนความยินยอมของเจ้าของข้อมูลส่วนบุคคล จะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงเหตุจำเป็นกับการดำเนินการต่าง ๆ อาจส่งผลให้บริษัทไม่สามารถปฏิบัติตามสัญญาหรืออาจส่งผลให้กิจกรรมอื่นใดที่เกี่ยวข้องถูกระงับ หรือหยุดลงชั่วคราว หรืออาจส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล ได้ทราบก่อนถอนความยินยอม การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฏิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิข้างต้นของเจ้าของข้อมูลส่วนบุคคลได้ เช่น ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล เพื่อประโยชน์สาธารณะ การใช้สิทธิอาจละเมิดสิทธิหรือเสรีภาพของบุคคคลอื่น และการขอยกเลิกสิทธิไม่มีผลย้อนหลังต่อการประมวลผลข้อมูลที่ได้ดำเนินการไปแล้วก่อนการถอนความยินยอม
กลุ่มบริษัท ASC Group
เลขที่ 25 อาคารกรุงเทพประกันภัย ชั้น 18 ยูนิต 7 ถนนสาทรใต้
แขวงทุ่งมหาเมฆ เขตสาทร กรุงเทพฯ 10120
โทร. 02 – 679-1940-3, 02-677-4072-3 กด 511
Email: PDPA@grpasc.com
บริษัทอาจพิจารณาทบทวนเพื่อแก้ไขเพิ่มเติม ปรับปรุง หรือเปลี่ยนแปลง นโยบายฉบับนี้เป็นครั้งคราวตามความเหมาะสมและเท่าที่กฎหมายอนุญาติ ทั้งนี้ ในกรณีที่มีการแก้ไขเพิ่มเติม ปรับปรุง หรือเปลี่ยนแปลงนโยบายฉบับนี้ บริษัทจะดำเนินการประกาศนโยบายฉบับปัจจุบันให้ท่านทราบผ่านหน้าเว็บไซต์ของบริษัท
