นโยบายความเป็นส่วนตัว
Privacy Policy
กลุ่มบริษัท เอเอสซี กรุ๊ป (ASC Group) ซึ่งประกอบไปด้วย บริษัท แอดวานซ์ ซิสเต็มส์ คอนซัลติ้ง จำกัด, บริษัท แอดวานซ์ เพอซเนล แอนด์ โซลูชั่น จำกัด, บริษัท แอดวานซ์ แอดมินนิสเตรชั่น จำกัด, บริษัท แอดวานซ์ ไอเซอร์วิส จำกัด และ บริษัท แอดวานซ์ เอาท์ซอร์สซิ่ง เซอร์วิสเซส จำกัด ต่อจากนี้ ในนโยบายฉบับนี้จะเรียกว่า “บริษัท” ซึ่งให้ความสำคัญกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จึงได้จัดทำนโยบายความเป็นส่วนตัวขึ้น เพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และแจ้งทราบถึงวัตถุประสงค์และรายละเอียดในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ตลอดจนถึงสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
1. นโยบายความเป็นส่วนตัวนี้ใช้สำหรับใคร
นโยบายความเป็นส่วนตัวฉบับนี้ใช้สำหรับพนักงานและบุคลากรของกลุ่มบริษัท ASC Group เพื่อทราบถึงวัตถุประสงค์และรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ตลอดจนสิทธิตามกฎหมายของเจ้าของข้อมูลส่วนบุคคล และให้ปฏิบัติตามนโยบายนี้
2. ประเภทของข้อมูลส่วนบุคคล
2.1 ข้อมูลส่วนบุคคล หมายถึง ข้อมูลที่สามารถระบุตัวตนของท่านได้ ไม่ว่าทางตรงหรือทางอ้อม และอื่น ๆ ที่เชื่อมโยงกับตัวตนของบุคคล (แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม)
2.2 ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data)
ข้อมูลส่วนบุคคลประเภทอ่อนไหว หมายถึง ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเรื่องส่วนตัวที่ละเอียดอ่อน ซึ่งหากถูกเปิดเผยหรือนำไปใช้ในทางที่ผิด อาจส่งผลกระทบต่อเจ้าของข้อมูลอย่างร้ายแรง เช่น การถูกเลือกปฏิบัติ การถูกคุกคาม หรือการสูญเสียโอกาสต่างๆ เช่น
- เชื้อชาติหรือชาติพันธุ์
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ ศาสนา หรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ เช่น ลายนิ้วมือ ภาพใบหน้า ม่านตา
- ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
2.3 ข้อมูลผู้เยาว์ / ข้อมูลผู้เสมือนไร้ความสามารถ
ในกรณีที่เจ้าของข้อมูลเป็นผู้เยาว์ที่มีอายุไม่เกิน 20 ปี ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนบุคคลซึ่งบรรลุนิติภาวะ ต้องขอความยินยอมจากผู้เยาว์และ/หรือผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย ในกรณีผู้เยาว์ที่มีอายุไม่เกิน 10 ปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
ในกรณีที่เจ้าของข้อมูลเป็นคนเสมือนไร้ความสามารถ การขอความยินยอมจากเจ้าของข้อมูลดังกล่าวต้องขอความยินยอมจากผู้พิทักษ์หรือผู้ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
ในกรณีที่ได้จัดเก็บข้อมูลมาโดยความไม่ตั้งใจ บริษัทจะลบ ทำลาย หรือทำให้พิสูจน์ตัวตนไม่ได้โดยทันที เว้นแต่การเก็บรักษาดังกล่าวอาศัยฐานทางกฎหมายอื่นที่ไม่ต้องอาศัยความยินยอม
ในนโยบายฉบับนี้ จะเรียกข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลอ่อนไหว ข้อมูลผู้เยาว์ และข้อมูลผู้เสมือนไร้ความสามารถรวมกันว่า “ข้อมูลส่วนบุคคล”
3. บริษัทใช้ฐานกฎหมายใดในการจัดเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล
บริษัทจะดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย โดยฐานทางกฎหมายอาจรวมถึง: - 3.1 ฐานการขอความยินยอม (Consent) — ขอความยินยอมจากเจ้าของข้อมูลอย่างชัดแจ้ง เป็นลายลักษณ์อักษร หรือผ่านวิธีการทางอิเล็กทรอนิกส์ เจ้าของข้อมูลสามารถถอนความยินยอมได้เมื่อใดก็ได้
- 3.2 ฐานการปฏิบัติตามสัญญา (Contract) — เพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา หรือเพื่อดำเนินการตามคำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญา
- 3.3 ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) — เพื่อปฏิบัติตามข้อกำหนดทางกฎหมายที่ผู้ควบคุมข้อมูลต้องปฏิบัติ
- 3.4 ฐานการป้องกันอันตรายต่อชีวิต (Vital Interest) — เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ
- 3.5 ฐานการปฏิบัติภารกิจของรัฐ (Public Task) — เพื่อปฏิบัติภารกิจเพื่อประโยชน์สาธารณะหรือหน้าที่ตามอำนาจของรัฐ
- 3.6 ฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) — เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลหรือบุคคลอื่น เว้นแต่สิทธินั้นจะมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูล
- 3.7 ฐานจดหมายเหตุ/วิจัย/สถิติ — การประมวลผลเพื่อบันทึกจดหมายเหตุ งานวิจัย หรือสถิติภายใต้เงื่อนไขที่เหมาะสม
4. การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องขอความยินยอมจากเจ้าของข้อมูลตามที่กฎหมายกำหนดและต้องแจ้งวัตถุประสงค์การใช้ให้เจ้าของข้อมูลทราบก่อนหรือระหว่างการเก็บรวบรวม ข้อมูลที่ได้จากแหล่งอื่นจะต้องแจ้งแหล่งที่มาให้เจ้าของข้อมูลทราบภายใน 30 วัน
5. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
บริษัทจะจัดเก็บข้อมูลส่วนบุคคลไว้เท่าที่จำเป็นเพื่อวัตถุประสงค์ที่ได้แจ้งและตามข้อกำหนดทางกฎหมาย รวมถึงการพิจารณาระยะเวลาที่เกี่ยวข้อง เช่น
- ข้อมูลทั่วไปที่หมดความสัมพันธ์ตามวัตถุประสงค์แล้ว อาจเก็บไว้ไม่น้อยกว่า 2 ปี หรือตามที่กฎหมายแพ่งและพาณิชย์กำหนด (เช่น 10 ปี) ขึ้นกับกรณี
- ข้อมูลประวัติอาชญากรรม สามารถจัดเก็บได้ไม่เกิน 6 เดือนนับจากสิ้นวัตถุประสงค์ เว้นแต่มีเหตุผลจำเป็นและได้รับความยินยอมชัดแจ้งจากเจ้าของข้อมูลพร้อมระบุระยะเวลาและวัตถุประสงค์
6. การเก็บรักษาข้อมูลส่วนบุคคล
การจัดเก็บข้อมูลส่วนบุคคลบริษัทปฏิบัติตามมาตรฐานความมั่นคงปลอดภัย (CIA Triad):
- Confidentiality — การรักษาความลับ เช่น การเข้ารหัส (Encryption) และการควบคุมการเข้าถึง
- Integrity — ความถูกต้องและครบถ้วน เช่น การใช้แฮช (Hashing), การสำรองข้อมูล และการตรวจสอบความถูกต้องของข้อมูล
- Availability — ความพร้อมใช้งาน เช่น ระบบสำรองไฟ (UPS), การป้องกัน DDoS และแผนการกู้คืนระบบ
7. การเปิดเผยข้อมูลส่วนบุคคล
การเปิดเผยข้อมูลส่วนบุคคลจะกระทำตามวัตถุประสงค์ที่ได้แจ้งและได้รับความยินยอมไว้ เว้นแต่การเปิดเผยโดยไม่ต้องขอความยินยอมเป็นไปเพื่อการปฏิบัติตามกฎหมาย คำสั่งศาล หรือเพื่อประโยชน์โดยชอบด้วยกฎหมาย เช่น การบังคับใช้กฎหมาย การสอบสวนทางอาญา การคุ้มครองความปลอดภัยของบุคคล หรือเพื่อป้องกันการเสียชีวิตหรือการบาดเจ็บร้ายแรง
8. สิทธิของเจ้าของข้อมูลส่วนบุคคล
8.1 สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) — สิทธิได้รับทราบรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
8.2 สิทธิในการเข้าถึงข้อมูล (Right of access) — สิทธิขอเข้าถึงและขอสำเนาข้อมูลส่วนบุคคล
8.3 สิทธิในการแก้ไขข้อมูล (Right to rectification) — สิทธิขอให้แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์
8.4 สิทธิในการลบข้อมูล (Right to erasure) — สิทธิขอให้ลบข้อมูลในกรณีที่กฎหมายอนุญาต เช่น เมื่อข้อมูลหมดความจำเป็นหรือเมื่อถอนความยินยอม
8.5 สิทธิในการระงับการประมวลผล (Right to restriction of processing) — สิทธิขอให้ระงับการใช้ข้อมูลในบางกรณี
8.6 สิทธิในการโอนย้ายข้อมูล (Right to data portability) — สิทธิขอให้โอนย้ายข้อมูลไปยังผู้ควบคุมข้อมูลรายอื่นในรูปแบบอิเล็กทรอนิกส์
8.7 สิทธิในการคัดค้าน (Right to object) — สิทธิคัดค้านการประมวลผลในบางกรณี เช่น การตลาดโดยตรง
8.8 สิทธิในการถอนความยินยอม (Right to withdraw consent) — สามารถถอนความยินยอมได้เมื่อใดก็ได้
การถอนความยินยอมอาจส่งผลให้บริษัทไม่สามารถปฏิบัติตามสัญญาหรือให้บริการบางอย่างได้ บริษัทจะแจ้งผลกระทบที่อาจเกิดขึ้นก่อนการถอน และอาจปฏิเสธคำขอบางประการหากมีเหตุผลตามกฎหมาย เช่น ต้องปฏิบัติตามคำสั่งศาล เพื่อประโยชน์สาธารณะ หรือเพื่อคุ้มครองสิทธิของบุคคลอื่น การขอใช้สิทธิไม่มีผลย้อนหลังต่อการประมวลผลที่ได้ดำเนินการไปแล้วก่อนการถอน
9. การเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
บริษัทอาจพิจารณาทบทวน แก้ไข หรือปรับปรุงนโยบายฉบับนี้เป็นครั้งคราวตามความเหมาะสมและตามที่กฎหมายอนุญาต ในกรณีมีการแก้ไข บริษัทจะประกาศนโยบายฉบับปัจจุบันผ่านหน้าเว็บไซต์ของบริษัท
10. ข้อมูลติดต่อ
กลุ่มบริษัท ASC Group
เลขที่ 25 อาคารกรุงเทพประกันภัย ชั้น 18 ยูนิต 7 ถนนสาทรใต้
แขวงทุ่งมหาเมฆ เขตสาทร กรุงเทพฯ 10120
โทร. 02-679-1940-3, 02-677-4072-3 กด 511
Email: PDPA@grpasc.com
