นโยบายความเป็นส่วนตัว
1. หลักการทั่วไป
1.1 ความทั่วไป
บริษัท กรังด์ปรีซ์ อินเตอร์เนชั่นแนล จำกัด (มหาชน) (“GPI”) ยึดมั่นในการดำเนินธุรกิจที่สอดคล้องตามบทบัญญัติของกฎหมายที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งการให้ความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลของผู้มีส่วนเกี่ยวข้องกับการดำเนินธุรกิจ จึงได้พัฒนาระบบการบริหารจัดการข้อมูลส่วนบุคคลด้วยระบบปฏิบัติงาน และระบบเทคโนโลยีสารสนเทศที่ทันสมัย และมีความมั่นคงปลอดภัยต่อการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคลที่มีประสิทธิภาพ โดยกำหนดให้เฉพาะเจ้าหน้าที่ของ GPI หรือบุคคลที่เกี่ยวข้องเท่านั้นที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล นอกจากนั้นยังจัดให้มีระบบการตรวจสอบการเข้าถึงและการใช้ข้อมูลส่วนบุคคลอย่างเคร่งครัด ตลอดจนจัดให้มีการปรับปรุงและพัฒนาระบบการจัดเก็บและรักษาข้อมูลส่วนบุคคลอย่างสม่ำเสมอเพื่อทำให้ระบบมีการจัดเก็บข้อมูลส่วนบุคคลที่ถูกต้องเชื่อถือได้ ป้องกันไม่ให้มีการรั่วไหลของข้อมูลส่วนบุคคล การแก้ไขส่วนบุคคลโดยผู้ไม่มีหน้าที่เกี่ยวข้อง หรือการนำข้อมูลส่วนบุคคลไปใช้นอกเหนือจากวัตถุประสงค์ที่ GPI ได้แจ้งให้ผู้มีส่วนเกี่ยวข้องได้ทราบไว้แต่แรก
เอกสารฉบับนี้ได้อธิบายถึงประเภทของข้อมูลส่วนบุคคล และวัตถุประสงค์ของการเก็บรวบรวมเพื่อนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย ระยะเวลาในการเก็บรวบรวมข้อมูล ประเภทของบุคคลหรือหน่วยงานซึ่ง GPI อาจเปิดเผยข้อมูลส่วนบุคคลที่บริษัทรวบรวมไว้ สิทธิของเจ้าของข้อมูลส่วนบุคคล รวมถึงมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่สอดคล้องกับบทบัญญัติของกฎหมาย ตลอดจนข้อมูลอื่น ๆ ที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคลของ GPI
เอกสารฉบับนี้ยังถือเป็นส่วนหนึ่งของข้อตกลงและเงื่อนไขการใช้งานบริการต่าง ๆ ของ GPI ซี่งอาจแก้ไข ปรับปรุง เพิ่มเติม เปลี่ยนแปลง นโยบายนี้โดยจะแจ้งให้ท่านทราบและขอความยินยอมจากท่านตามที่กฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลกำหนด
1.2 คำจำกัดความ
เพื่อให้เกิดความชัดเจนในการสื่อสารกับผู้มีส่วนเกี่ยวข้องในการดำเนินธุรกิจ และไม่ให้เกิดข้อกังวลเกี่ยวกับการตีความของคำบางคำในเอกสารฉบับนี้ บริษัทจึงได้จัดทำคำจำกัดความไว้ ดังนี้
“GPI” หมายถึง บริษัท กรังด์ปรีซ์ อินเตอร์เนชั่นแนล จำกัด (มหาชน)
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่เกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลที่ระบุตามมาตรา 26 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
“คู่ค้า” หมายถึง บุคคลหรือนิติบุคคล ซึ่งรวมถึงบุคคลคนเดียวหรือหลายคนซึ่งเป็นผู้มีอำนาจหรือได้รับมอบหมายให้กระทำการแทนนิติบุคคล เพื่อเข้าเป็นคู่สัญญาทางธุรกิจกับ GPI ในฐานะ คู่ค้า ไม่ว่าจะเป็นซัพพลายเออร์ ผู้ขายสินค้า ผู้ให้บริการ ผู้ฝากขายสินค้า
“Exhibitor” หมายถึง ผู้แสดงสินค้าที่ตกลงทำสัญญาเพื่อแสดงสินค้าหรือร่วมกิจกรรมทางธุรกิจ การตลาด การสื่อสารประชาสัมพันธ์ร่วมกับ GPI หรือที่ GPI ได้จัดขึ้น
“ผู้เข้าชมงาน” หมายถึง บุคคลผู้ให้ความสนใจในการเข้าเยี่ยมชมกิจกรรมหรืองานที่ GPI ได้จัดให้มีขึ้นไม่ว่าจะเป็นการจัดกิจกรรมหรืองานในช่องทางออนไลน์ทุกชนิด หรือการจัดงานแสดงสินค้าที่สถานที่จัดงาน และให้รวมถึงบุคคลผู้เข้าร่วมในการตอบคำถาม แบบสำรวจข้อมูล แบบสำรวจความพึงพอใจในการเข้าเยี่ยมชมเว็ปไซต์ สื่อออนไลน์ หรือการจัดงานของ GPI
1.3 ความเกี่ยวข้อง
GPI จะพิจารณาอย่างรอบคอบในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของผู้เกี่ยวข้องภายใต้วัตถุประสงค์แห่งการดำเนินธุรกิจโดยชอบด้วยกฎหมายด้วยเหตุดังต่อไปนี้
1.3.1 เป็นไปตามบทบัญญัติที่กฎหมายกำหนด
1.3.2 เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาทางธุรกิจกับ GPI
1.3.3 เป็นความจำเป็นนอกเหนือจากที่กฎหมายกำหนด หรือเพื่อการปฏิบัติตามสัญญาหรือเป็นไปเพื่อสวัสดิการหรือประโยชน์ของเจ้าของข้อมูลส่วนบุคคลยิ่งกว่าการเป็นคู่สัญญาทั่วไป
2. หลักการรวบรวมข้อมูลอย่างจำกัด
2.1 ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
นโยบายฉบับนี้จะใช้กับข้อมูลส่วนบุคคลที่บริษัทอาจเก็บรวบรวม รวมถึงกรณีที่เจ้าของข้อมูลได้ให้ความยินยอมไว้กับ GPI ดังนี้
(ก) ข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ นามสกุล ลายมือชื่อ วัน เดือน ปีเกิด หมายเลขบัตรประจำตัวประชาชนหรือหนังสือเดินทางหรือบัตรประจำตัวที่ราชการออกให้ ที่อยู่ตามบัตรประชาชน ที่อยู่ตามภูมิลำเนา ที่อยู่ปัจจุบัน หมายเลขโทรศัพท์มือถือ บัญชีผู้ใช้งานแพลตฟอร์มออนไลน์ และ จดหมายอิเล็กทรอนิกส์ เลขที่บัญชีเงินฝากธนาคาร บัญชีหรือรายการหรือประวัติการถือครองหุ้นหรือหลักทรัพย์ รูปถ่ายในบัตรประชาชน ภาพถ่ายการเข้าร่วมกิจกรรม เลขที่ใบอนุญาต PSN_ID ที่ใช้ในการแข่งขันหรือร่วมกิจกรรม รหัสพนักงาน เทปบันทึกเสียงการสนทนาทั้งส่วนของพนักงาน ลูกค้า เป็นต้น
(ข) ข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น ข้อมูลเกี่ยวกับเชื้อชาติ สัญชาติ ศาสนา หมู่เลือด สถานภาพทางครอบครัว ผลการตรวจสุขภาพ ประวัติการรักษาพยาบาล ประวัติการประสบอันตรายทั้งเนื่องจากการทำงาน หรือไม่เกี่ยวข้องกับการทำงานแต่ได้นำมาแสดงกับ GPI ผลการวินิจฉัยโรค ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน พฤติกรรมทางเพศ ข้อมูลความพิการทางร่างกาย ข้อมูลประวัติอาชญากรรม ผลการประเมินการทำงาน การแสดงความคิดเห็นในสื่อสังคมออนไลน์ ภาพสแกนใบหน้า ดวงตา หรือลายนิ้วมือ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ รวมถึงข้อมูลอื่นใดที่อาจกระทบกับเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
(ค) ข้อมูลส่วนบุคคลอื่น ๆ เช่น ประวัติการศึกษา ประวัติการทำงาน ทะเบียนรถยนต์ รถจักรยานยนต์ที่ได้จดทะเบียนไว้กับหน่วยงานราชการ เลขที่หรือรหัสผู้ประกอบวิชาชีพตามที่กฎหมายกำหนด หมายเลขอ้างอิงผลิตภัณฑ์ที่ผู้ใช้ผลิตภัณฑ์ได้ลงทะเบียนเพื่อรับประกันสินค้าหรือบริการนั้น ๆ สถานะทางการเงิน รายได้ ภาระหนี้ พฤติกรรมการบริโภค รีวิวแสดงความคิดเห็นหรือความพึงพอใจหรือประสบการณ์ในการใช้สินค้าหรือผลิตภัณฑ์ ความคิดเห็นในการเข้าร่วมกิจกรรม เข้าชมงานทั้งออนไลน์และออฟไลน์ บันทึกจากการถ่ายภาพนิ่ง ภาพเคลื่อนไหวของผู้เข้าชมงานแสดงสินค้า คำให้สัมภาษณ์ แบบลงทะเบียน คูปองชิงรางวัล รวมถึงข้อมูลอื่นใดที่ไม่ใช่ข้อมูลส่วนบุคคลโดยตรง แต่เมื่อมีการนำข้อมูลดังกล่าวมาประกอบกันแล้วทำให้สามารถระบุตัวบุคคลผู้เป็นเจ้าของข้อมูลได้
2.2 การเก็บรวบรวมข้อมูลส่วนบุคคล
2.2.1 ข้อมูลส่วนบุคคลทั่วไป
แม้ว่ากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล GPI จะสามารถเก็บรวบรวมข้อมูลส่วนบุคคลของผู้มีส่วนเกี่ยวข้องในฐานะที่เป็น
คู่สัญญาโดยตรง หรือเป็นผู้ที่ต้องกระทำการแทนนิติบุคคล หรือผู้รับมอบอำนาจจากผู้มีอำนาจในการเข้าทำนิติกรรมเป็นคู่สัญญา ได้โดยไม่ขอความยินยอมตามหลักการขอความยินยอมของกฎหมายก็ตาม GPI ก็ยังคงรักษาไว้ซึ่งการมีส่วนร่วม โดยจะจัดให้ผู้มีส่วนเกี่ยวข้องได้รับทราบโดยชัดแจ้งว่า คู่สัญญาจะต้องให้ข้อมูลส่วนบุคคลเฉพาะที่จำเป็นในการเข้าเป็นสัญญาในฐานะคู่สัญญาที่ GPI และผู้มีส่วนเกี่ยวข้องต้องปฏิบัติตามกฎหมายว่าด้วยเรื่องของนิติกรรมหรือสัญญานั้น ๆ นอกเหนือจากที่ได้กำหนดไว้แล้ว GPI อาจเก็บรวบรวมข้อมูลได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้
(ก) การเก็บรวบรวมที่มีวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการป้องกันที่เหมาะสมเพื่อคุ้มครองสิทธิ
และเสรีภาพของเจ้าของข้อมูลส่วนบุคคล โดยปฏิบัติตามหลักเกณฑ์ที่กฎหมายกำหนด
(ข) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(ค) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญากับ GPI หรือเพื่อใช้ในการดำเนินการตามคำขอ
ของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญาใด ๆ กับ GPI
(ง) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติ
หน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ GPI
(จ) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของ GPI หรือบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ GPI เว้นแต่ประโยชน์ดังกล่าว
มีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
(ฉ) เป็นการปฏิบัติตามกฎหมายซึ่ง GPI มีหน้าที่ต้องปฏิบัติตามกฎหมาย
2.2.2 ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
GPI อาจเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวโดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ดังนี้
(ก) ในกรณีที่ GPI มีความจำเป็นต้องดำเนินการเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูล
ส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตาม
(ข) เป็นข้อมูลที่เจ้าของข้อมูลส่วนบุคคลได้ยินยอมโดยชัดแจ้งให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลอื่นใด เพื่อการเปิดเผยต่อสาธารณะแล้ว
(ค) ในกรณีที่ GPI จำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(ง) ในกรณีที่ GPI จำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของพนักงาน การวินิจฉัยโรคทางการแพทย์ หรือประโยชน์สาธารณะด้านการสาธารณสุข รวมถึงให้เป็นไปตามที่กฎหมายว่าด้วยการคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจากรถ หรือการคุ้มครองทางสังคม การศึกษาวิจัยทางสถิติ หรือประโยชน์สาธารณะอื่น และให้รวมถึงกรณีที่มีการดำเนินการเพื่อประโยชน์สาธารณะที่สำคัญ ซึ่ง GPI ได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
2.3 การเก็บรวบรวม และการได้รับข้อมูลส่วนบุคคล
GPI ยึดมั่นตามบทบัญญัติของกฎหมาย โดยจะเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลเท่านั้น เว้นแต่กรณีจำเป็นที่เจ้าของข้อมูลไม่อาจหรือไม่ได้เป็นผู้ที่เก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวไว้ GPI อาจเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น ทั้งนี้จะเป็นไปเฉพาะแต่กรณีที่ GPI ได้รับความยินยอมเป็นลายลักษณ์อักษรจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น โดยทั่วไปกรณีที่ GPI อาจเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลโดยตรง และจากแหล่งอื่น ได้แก่
2.3.1 ผู้สมัครงาน หรือพนักงาน
(ก) ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสุขภาพ หรือโรคประจำตัวของผู้สมัครงานที่บริษัทกำหนดให้ผู้ที่จะเข้าทำงานกับ GPI ในฐานะ
ลูกจ้าง ทำการตรวจสุขภาพของตนเองก่อนเข้าทำงาน โดยให้สถานพยาบาลที่ทำการตรวจสุขภาพส่งผลการตรวจให้แก่ GPI
(ข) ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับประวัติการถูกดำเนินคดีทางกฎหมาย หรือประวัติอาชญากรรม โดย GPI อาจกำหนดให้ผู้ที่จะเข้า
ทำงานรายหนึ่งรายใดหรือตำแหน่งหนึ่งตำแหน่งใดทำการตรวจสอบประวัติอาชญากรรม หรือยินยอมให้ GPI ไปทำการตรวจประวัติอาชญากรรมแทนพนักงาน และยินยอมให้ GPI เก็บรวบรวมไว้ได้ตามระยะเวลาที่ GPI กำหนด
(ค) ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับประวัติการทำงานก่อนหน้าที่จะทำงานกับ GPI โดยได้กำหนดให้เจ้าของข้อมูลส่วนบุคคลให้ความ
ยินยอมโดยชัดแจ้งก่อนทุกครั้ง โดย GPI จะแจ้งการให้ความยินยอมให้แก่บุคคลภายนอกนั้น ๆ ทราบล่วงหน้าก่อนการส่งข้อมูลดังกล่าวมายังบริษัท
2.3.2 ลูกค้า ผู้ใช้ผลิตภัณฑ์
กรณีที่เจ้าของข้อมูลส่วนบุคคลให้ความสนใจในผลิตภัณฑ์ หรือสั่งซื้อสินค้าจาก GPI รวมถึงการติดต่อเพื่อบริการหลังการขาย การรีวิว
แสดงความคิดเห็น ความพึงพอใจในการใช้สินค้าหรือผลิตภัณฑ์ การติดต่อระหว่างเจ้าของข้อมูลส่วนบุคคลกับ GPI ไม่ว่าจะเป็นทางโทรศัพท์ e-mail แอปพลิเคชันของ GPI แอปพลิเคชันที่ใช้ในการติดต่อสื่อสาร ศูนย์บริการลูกค้า หรือการติดต่อโดยวิธีการอื่นใด GPI อาจดำเนินการบันทึกข้อมูลการติดต่อสื่อสารเหล่านั้นเพื่อวัตถุประสงค์ต่าง ๆ เช่น เพื่อใช้เป็นหลักฐาน เพื่อพัฒนาและปรับปรุงบริการ เพื่อติดตามความพึงพอใจของเจ้าของข้อมูลส่วนบุคคล เพื่ออบรมบุคลากร เพื่อประเมินผลการทดสอบบุคลากร เพื่อวิเคราะห์ข้อมูล รวมถึงเพื่อพัฒนาระบบของ GPI
2.3.3 คู่ค้า
กรณีที่คู่ค้า ได้มอบหมายให้บุคคลคนเดียวหรือหลายคน ต้องติดต่อกับ GPI เพื่อให้เป็นไปตามข้อกำหนด เงื่อนไขของการเป็นคู่สัญญา ไม่ว่าจะในฐานะผู้ขาย ผู้ฝากขาย ผู้ให้บริการ ผู้แทน ผู้จัดจำหน่าย ทั้งสินค้ารวมถึงศูนย์บริการในนาม GPI ซึ่งกำหนดมาตรฐานความสามารถของบุคลากรที่เกี่ยวข้องนั้น ๆ ให้สามารถให้บริการหรือตอบสนองต่อการใช้สินค้าหรือบริการ GPI จะมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลเช่นว่านั้นเพื่อดำเนินการตามวัตถุประสงค์ที่ได้แจ้งไว้เอกสารฉบับนี้ หรือตามเงื่อนไขของสัญญานั้น ๆ
3. หลักการคุณภาพของข้อมูล
ก่อนหรือขณะที่ GPI ทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้มีส่วนเกี่ยวข้อง GPI จะมีกระบวนการในการบริหารจัดการ วิเคราะห์ข้อมูลส่วนบุคคลต่าง ๆ ด้วยหลักการ ความถูกต้อง ความสมบูรณ์ ความพร้อมต่อการใช้งาน ความเที่ยงตรง ความเป็นปัจจุบัน ความเป็นเอกลักษณ์ และความแม่นยำ
ทั้งนี้ กระบวนการดังกล่าวข้างต้น GPI ได้จัดผู้เกี่ยวข้องทำการวิเคราะห์ วางแผนเพื่อให้มีการเก็บรวบรวมข้อมูลเฉพาะที่มีความเป็นเอกลักษณ์ เที่ยงตรงที่เหมาะสมกับกระบวนการต่าง ๆ เพื่อการนำไปใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้มีส่วนเกี่ยวข้องให้เกิดประโยชน์สูงสุด การตรวจสอบถึงความถูกต้อง ความแม่นตรงของข้อมูลที่ได้รับก่อนที่จะมีการเก็บรวบรวม ไม่ว่าการบันทึกรายการข้อมูลเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ เพื่อให้มีความครบถ้วน ถูกต้อง รวมทั้งจัดให้มีการตรวจสอบความถูกต้องขอข้อมูลจากแหล่งข้อมูลที่เชื่อถือได้หรือตามที่กฎหมายกำหนดให้เป็นหน่วยงานที่มีอำนาจหน้าที่ในการจัดการเกี่ยวกับข้อมูลส่วนบุคคลนั้น ๆ รวมถึงการจัดการเพื่อการปกป้องข้อมูลส่วนบุคคล การรักษาความปลอดภัยและความมั่นคงของข้อมูล เพื่อเป็นป้องกันไม่ให้เป็นข้อเรียกร้องทั้งในเชิงกฎหมาย และเชิงพาณิชย์ในอนาคต
4. หลักการระบุวัตถุประสงค์
GPI กำหนดวัตถุประสงค์อันจำเป็นของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้มีส่วนเกี่ยวข้องกับการดำเนินธุรกิจภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย เพื่อให้บรรลุวัตถุประสงค์ร่วมกันกับการให้บริการ สิทธิประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล แยกตามประเภทของผู้มีส่วนเกี่ยวข้องกับการดำเนินธุรกิจของ GPI ดังนี้
4.1 ผู้ถือหุ้น กรรมการบริหาร กรรมการผู้มีอำนาจกระทำการในนาม GPI
GPI จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในฐานะที่เป็นผู้ถือหุ้น กรรมการบริหาร กรรมการผู้มีอำนาจกระทำการในนาม GPI เพื่อการลงนามผูกพันในสัญญาธุรกิจ สัญญาทั่วไป การอนุมัติการดำเนินการต่าง ๆ มอบอำนาจในการดำเนินการทางธุรกิจ กฎหมาย ธุรกรรมธนาคาร การติดต่อหน่วยงานราชการ การดำเนินการทั่วไปในการเชิญประชุม แจ้งผลของการประชุม การจัดการเงินปันผล รายงานผลการดำเนินการของบริษัทตามระเบียบหรือตามที่กฎหมายกำหนด รวมถึงเพื่อการบริจาคหรือกิจกรรมอันเป็นสาธารณะกุศล
4.2 พนักงาน บุคคลในครอบครัว
GPI จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของพนักงานในขอบเขตการสรรหา คัดเลือกเข้าทำงาน สัญญาว่าจ้าง การยืนยันตัวตนเพื่อเข้าทำงานหรือเข้าใช้งานในระบบสารสนเทศภายใน การคำนวณและจ่ายค่าจ้าง ผลตอบแทน การประเมินผลการทำงาน การปรับค่าจ้าง การเก็บประวัติความประพฤติทางวินัยรวมถึงบทลงโทษ การฝึกอบรม และการบริหารงานบุคคลในฐานะที่เป็นลูกจ้างตามสัญญาจ้างแรงงาน การตรวจประวัติอาชญากรรม การเลื่อน โยกย้ายตำแหน่งงาน การเบิกจ่ายเงินตามระเบียบการทำงาน การประสานงานแก่ผู้บริหารเรื่องการนัดพบแพทย์ การสำรองตั๋วโดยสาร การขอวีซ่า จองห้องพัก สถานที่บริการต่าง ๆ การตรวจสุขภาพทั้งตามที่กฎหมายกำหนดและที่บริษัทจัดให้ และรวมถึงการจัดสวัสดิการ สิทธิประโยชน์แก่พนักงานและครอบครัว การส่งข้อมูลให้หน่วยงานภายนอกอันเป็นการปฏิบัติตามกฎหมายที่เกี่ยวข้องกับสรรพากร ประกันสังคม การพัฒนาฝีมือแรงงาน กรมบังคับคดี และการบริหารสำนักงาน การติดต่อประสานงานภายใน การเบิกค่าใช้จ่าย การถือครองทรัพย์สิน การจัดการด้านธุรการอาคารสถานที่ การจัดการจดหมายและไปรษณีย์ การบันทึกการเข้า-ออกพื้นที่ทำงาน การตรวจสอบ ตรวจประเมินทั้งจากหน่วยงานภายในและภายนอก รวมถึงการส่ง โอน หรือเปิดเผยให้แก่ผู้ให้บริการจัดส่งในการประสานงานเพื่อติดต่อลูกค้า
สำหรับบุคคลในครอบครัวของพนักงาน GPI จะพิจารณาเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นเพื่อประโยชน์กรณีที่ต้องปฏิบัติตามกฎหมายหรือเพื่อการดำเนินอื่นใดอันเป็นประโยชน์ของพนักงานหรือบุคคลในครอบครัวเป็นสำคัญ ทั้งนี้ GPI จะจัดให้บุคคลในครอบครัวที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ให้ความยินยอมไว้แก่ GPI โดยผ่านการดำเนินการของพนักงาน อย่างไรก็ตาม กรณีที่พนักงานไม่ได้ดำเนินการให้สอดคล้องอย่างเหมาะสมเพื่อให้ GPI ปฏิบัติสอดคล้องต่อกฎหมาย พนักงานอาจได้รับผลกระทบไม่ว่าจะเป็นกรณีที่พนักงานไม่อาจใช้สิทธิประโยชน์หรือสวัสดิการที่สามารถได้รับจากการให้บริการโดย GPI ทั้งนี้ GPI สงวนสิทธิไม่จัด มอบ จ่ายสิทธิประโยชน์หรือสวัสดิการ หากพนักงานหรือบุคคลในครอบครัวของพนักงานยังไม่ได้ดำเนินการให้สอดคล้องกับบทบัญญัติของกฎหมาย
4.3 คู่ค้า และ Exhibitor
GPI จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของคู่ค้า และ Exhibitor ซึ่งครอบคลุมไปถึงซัพพลายเออร์ , ผู้ฝากขาย , ผู้แทนจำหน่าย , ผู้ว่าจ้าง , ผู้รับจ้างผลิต ผู้แสดงสินค้า รวมถึงบุคคลที่ต้องดำเนินการตามคำสั่ง การมอบหมายของคู่ค้า และ Exhibitor ในขอบเขตของการเปิดบัญชีลูกหนี้ เจ้าหนี้การค้ารายใหม่ การเสนอราคา การเจรจาต่อรอง การทำสัญญา การจัดกิจกรรมส่งเสริมการขาย การประชุม อบรม สัมมนาทั้งในและต่างประเทศ การรับรองทางธุรกิจ งานแสดงหรือเปิดตัวหรือสาธิตสินค้าที่จัดขึ้นทั้งในและต่างประเทศ การบริหารจัดการด้านการขาย การฝึกอบรม การทดสอบความสามารถด้านเทคนิค การโฆษณา การผลิตสื่อสิ่งพิมพ์ การจ่ายรางวัลตอบแทนการขาย และการขึ้นทะเบียนผู้ขาย การจัดซื้อจัดจ้าง การประเมินผู้ขาย การว่าจ้างสัญญาบริการต่าง ๆ การจัดส่งเอกสาร สินค้า กรณีที่เป็นวิทยากรหรือผู้รับเชิญให้บรรยาย ให้คำแนะนำเกี่ยวกับกระบวนการฝึกอบรม การสัมมนา การประชุม เป็นประวัติส่วนตัว ทั้งการศึกษา ประสบการณ์การทำงาน ความสามารถพิเศษ ภาพถ่ายขณะดำเนินกิจกรรม กรณีเป็นผู้ตรวจสอบ ตรวจประเมินจากหน่วยงานภายนอก GPI จะเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ตรวจสอบ ตรวจประเมินไว้เฉพาะเท่าที่ใช้ในการยืนยันตัวตน การขึ้นทะเบียนผู้สอบบัญชีรับอนุญาต
4.4 ลูกค้า ผู้ใช้ผลิตภัณฑ์ ผู้ร่วมกิจกรรมของ GPI
GPI จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า ผู้ใช้ผลิตภัณฑ์ ผู้เข้าร่วมกิจกรรมที่ GPI ได้จัดขึ้น เพื่อประโยชน์ของลูกค้าตั้งแต่การเสนอขายสินค้า การประสานงานขาย การสมัครสมาชิกนิตยสาร การขึ้นทะเบียนลูกค้าใหม่ การกำหนดวงเงินเครดิตลูกค้า บริการก่อนการขาย ขณะที่ทำการซื้อขาย และบริการหลังการขาย การตรวจสอบชื่อ นามสกุล หมายเลขโทรศัพท์ ที่อยู่ในการจัดส่งสินค้าและเอกสารหลักฐานการชำระเงินการรีวิว (การแสดงความคิดเห็น การประชาสัมพันธ์ การแสดงความรู้สึก การแจ้งผลลัพธ์ของการใช้สินค้าและ/หรือผลิตภัณฑ์) การสำรวจความพึงพอใจ การยืนยันหรือแสดงตัวตนเพื่อเข้าชมงานแสดงสินค้าที่จัดขึ้นทั้งในและต่างประเทศ การเข้าร่วมกิจกรรม การพิสูจน์อักษร การออกแบบสื่อสิ่งพิมพ์ สื่อออนไลน์ การทำ content การแลกเปลี่ยนสินค้า จัดการข้อร้องเรียนลูกค้า การนำเสนอโปรโมชั่น การแจ้งสิทธิประโยชน์แก่ลูกค้า เข้าร่วมกิจกรรม รับของรางวัล ของขวัญ ของที่ระลึก การรับรองทางธุรกิจ การจัดกิจกรรมระหว่างลูกค้ากับเจ้าของผลิตภัณฑ์ที่จัดกิจกรรมผ่านระบบ Live หรือ VDO conference ซึ่งจะมีการเก็บรวบรวม ใช้ เปิดเผยข้อมูลของบุคคลผู้ที่เข้าร่วมกิจกรรมตามเงื่อนไขที่บริษัทหรือเจ้าของผลิตภัณฑ์กำหนด รวมถึงการโอน ส่งต่อ หรือเปิดเผยข้อมูลให้แก่ผู้ให้บริการจัดส่งสินค้าเพื่อดำเนินการในเรื่องการจัดส่งสินค้า การติดต่อรับคืนสินค้าจากลูกค้า หรือแก่สถาบันการเงินเพื่อการคืนเงินค่าสินค้าให้แก่ลูกค้า รวมถึงการวิเคราะห์ cookie เพื่อประสิทธิภาพของการทำการตลาดผ่านสื่อออนไลน์ต่าง ๆ
5. หลักการใช้ข้อมูลอย่างจำกัด
GPI จะพิจารณาอย่างรอบคอบในการใช้ข้อมูลส่วนบุคคลของผู้มีส่วนเกี่ยวข้องอย่างจำกัดภายใต้ขอบเขตของวัตถุประสงค์ที่ได้แจ้งไว้กับผู้มีส่วนเกี่ยวข้องเมื่อก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลนั้น ๆ
นอกเหนือจากการคำนึงถึงความเป็นส่วนตัวและสิทธิขั้นพื้นฐานของผู้มีส่วนเกี่ยวข้องในฐานะเจ้าของข้อมูลส่วนบุคคล ประกอบกับบทบัญญัติ กฎ ระเบียบ ข้อบังคับ ข้อกำหนดของทางราชการที่เกี่ยวข้อง GPI จะพิจารณาใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์หรือตอบสนองผู้มีส่วนเกี่ยวข้องในฐานะลูกค้า ผู้รับบริการ ตอบขอบเขตแห่งวัตถุประสงค์อย่างจำกัด เพื่อการดังต่อไปนี้
(1) ติดต่อเพื่อตอบคำถามจากลูกค้า คู่ค้า
(2) การส่งสินค้า บริการ หรือผลิตภัณฑ์ที่สั่งซื้อ ทั้งกรณีการสั่งซื้อ การแลกเปลี่ยน การรับคืน
(3) การจัดการและการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลอยู่ในฐานะคู่สัญญากับ GPI
(4) การวิจัยตลาดและการพัฒนาผลิตภัณฑ์และบริการใหม่
(5) การแนะนำข้อเสนอทางการตลาด การสื่อสารทางการตลาด
(6) วัตถุประสงค์อื่นที่เกี่ยวข้องกับข้องต่าง ๆ ข้างต้น หากต้องได้มาหรือใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากที่ได้ระบุไว้ข้างต้น GPI จะขอความยินยอมก่อนการเก็บรวบรวม ใช้ข้อมูลส่วนบุคคลดังกล่าวตามที่กฎหมายบัญญัติไว้อย่างเคร่งครัด
อย่างไรก็ตาม บรรดาข้อมูลส่วนบุคคลของผู้มีส่วนเกี่ยวข้องที่ GPI ได้ทำการเก็บรวบรวม ใช้ รวมถึงการเปิดเผยมาไว้ก่อนที่กฎหมายคุ้มครองส่วนบุคคลใช้บังคับ GPI จะทำการเก็บรวบรวม และใช้ตามวัตถุประสงค์เดิมที่ GPI เคยแจ้งและขอความยินยอมตามวิถีทางธุรกิจที่ GPI ได้ปฏิบัติต่อผู้มีส่วนเกี่ยวข้องก่อนที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับต่อไปตามระยะเวลาที่ได้กำหนดไว้ในเอกสารฉบับนี้ เว้นแต่เป็นกรณีที่กำหนดไว้เป็นการเฉพาะในเรื่องระยะเวลา แต่หาก GPI จะทำการเปิดเผยข้อมูลส่วนบุคคล หรือใช้ข้อมูลส่วนบุคคลนอกเหนือจากที่เคยแจ้งวัตถุประสงค์ไปก่อนหน้านี้แล้ว GPI จะยึดมั่นในการปฏิบัติตามกฎหมายโดยเคร่งครัด คำนึงถึงความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลเป็นสำคัญ
6. หลักการรักษาความมั่นคงปลอดภัยของข้อมูล
6.1 การรักษาความมั่นคงปลอดภัยของข้อมูลที่จัดเก็บในระบบเอกสารปกติ
GPI ได้กำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่จัดเก็บเป็นเอกสาร (Hard Copy) ไว้เป็นการเฉพาะด้วยการเก็บรวบรวมไว้ตาม นโยบายและแนวทางปฏิบัติในการควบคุมการปฏิบัติงานและรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ (Information Security Policy) ที่บริษัทกำหนดวิธีปฏิบัติที่ชัดเจนไว้ใน GPI-ITP-DN-01-220464
6.2 การรักษาความมั่นคงปลอดภัยของข้อมูลที่จัดเก็บในระบบอิเล็กทรอนิกส์
GPI ได้กำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลโดยคำนึงถึงสิทธิขั้นพื้นฐานของข้อมูลส่วนบุคคลของผู้มีส่วนเกี่ยวข้อง ด้วยการออกแบบระบบสารสนเทศและระบบเครือข่ายและคอมพิวเตอร์ให้มีความมั่นคงปลอดภัยอย่างเหมาะสมที่สุด เพื่อสนับสนุนการดำเนินงานของบริษัทได้อย่างต่อเนื่อง สอดคล้องกับบทบัญญัติของกฎหมายที่เกี่ยวข้อง รวมทั้งเป็นการป้องกันภัยคุกคามที่อาจก่อให้เกิดความเสียหายแก่ GPI
1. จัดให้มีหน้าที่ดูแลให้มีการกำหนดนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศเป็นลายลักษณ์อักษร และบริษัทต้องทำการสื่อสารนโยบายดังกล่าวเพื่อสร้างความเข้าใจและสามารถปฏิบัติตามได้อย่างถูกต้อง โดยเฉพาะอย่างยิ่งระหว่างหน่วยงานด้านเทคโนโลยีสารสนเทศและหน่วยงานด้านอื่นภายในบริษัท เพื่อให้มีการประสานงานและสามารถดำเนินธุรกิจได้ตามเป้าหมายที่ตั้งไว้
2. จัดให้มีการทบทวนนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีผลกระทบต่อการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศของบริษัท
3. กำหนดผู้ที่มีหน้าที่และความรับผิดชอบในการบริหารและจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศไว้เป็นการเฉพาะ เพื่อให้มั่นใจว่าบริษัทสามารถจัดหาวิธีการหรือแนวทางด้านเทคโนโลยีสารสนเทศเพื่อลดความเสี่ยงหรือจัดการความเสี่ยงที่มีอยู่ แล้วนำเสนอให้กับผู้บริหารเพื่อพิจารณาในการจัดการความเสี่ยงด้านระบบเทคโนโลยีสารสนเทศ
4. ได้ระบุความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศเพื่อครอบคลุมความเสี่ยงสำคัญ เช่น ความเสี่ยงจากบุคลากร จาก Software และข้อมูลจากระบบเครือข่ายและอินเตอร์เน็ต จาก Hardware และอุปกรณ์คอมพิวเตอร์ จากการเงิน จากอุทกภัย วาตภัย อัคคีภัย แผ่นดินไหว อาคารพังถล่ม การโจรกรรม และ จากกระแสไฟฟ้าขัดข้อง
5. กำหนดวิธีการในการบริหาร และจัดการความเสี่ยงให้อยู่ในระดับที่บริษัทยอมรับได้จัดทำตารางลักษณะ รายละเอียดความความ
เสี่ยง โดยมีหัวเรื่อง ชื่อความเสี่ยง ประเภทความเสี่ยง ลักษณะความเสี่ยง ปัจจัยความเสี่ยง และผลกระทบ เป็นต้น กำหนดระดับโอกาสการเกิดเหตุการณ์และระดับความรุนแรงของผลกระทบความเสี่ยง
6. กำหนดตัวชี้วัดระดับความเสี่ยงด้านเทคโนโลยีสารสนเทศ รวมถึงจัดให้มีการติดตามและรายงานผลตัวชี้วัดต่อผู้ที่มีหน้าที่รับผิดชอบ เพื่อให้สามารถบริหารและจัดการความเสี่ยงได้อย่างเหมาะสมและทันต่อเหตุการณ์
7. ห้ามบุคลากรของบริษัทใช้เครือข่ายคอมพิวเตอร์ เพื่อกระทำการอันผิดกฎหมายและขัดต่อศีลธรรมอันดีของสังคม เช่น การจัดทำเว็บไซต์เพื่อดำเนินการค้าขาย หรือเผยแพร่สิ่งที่ผิดกฎหมาย หรือขัดต่อศีลธรรมอันดี เป็นต้น
8. ไม่อนุญาตให้ใช้เครือข่ายคอมพิวเตอร์ หรือเครื่องคอมพิวเตอร์ ด้วยชื่อบัญชีผู้ใช้ของผู้อื่น ทั้งที่ได้รับอนุญาต และไม่ได้รับอนุญาตจากเจ้าของชื่อบัญชีผู้ใช้
9. ห้ามเข้าใช้ระบบคอมพิวเตอร์และข้อมูลที่มีการป้องกันการเข้าถึงของผู้อื่น เพื่อแก้ไข ลบ เพิ่มเติม หรือคัดลอก
10. ห้ามเผยแพร่ข้อมูลของผู้อื่น หรือของหน่วยงาน โดยไม่ได้รับอนุญาตจากผู้เป็นเจ้าของข้อมูลนั้น ๆ
11. ห้ามผู้ใดก่อกวน ขัดขวาง หรือทำลายให้ทรัพยากรและเครือข่ายคอมพิวเตอร์ของบริษัทเกิดความเสียหาย เช่น การส่งไวรัสคอมพิวเตอร์ การป้อนโปรแกรมที่ทำให้เครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่ายปฏิเสธการทำงาน เป็นต้น
12. ห้ามผู้ใดลักลอบดักรับข้อมูลในเครือข่ายคอมพิวเตอร์ของบริษัท และของผู้อื่นที่อยู่ระหว่างการรับและส่งในเครือข่ายคอมพิวเตอร์
13. ก่อนการใช้งานสื่อบันทึกพกพาต่าง ๆ หรือเปิดไฟล์ที่แนบมากับจดหมายอิเล็กทรอนิกส์ หรือไฟล์ที่ดาวน์โหลดมาจากอินเทอร์เน็ต ผู้ใช้งานต้องมีการตรวจสอบเพื่อหาไวรัสโดยโปรแกรมป้องกันไวรัสก่อนทุกครั้ง
14. มอบหมายหน้าที่ให้กับผู้ใช้งานในฝ่ายเทคโนโลยี รับผิดชอบการดูแลระบบสารสนเทศที่บริษัทใช้งานให้มีความมั่นคงปลอดภัยของระบบสารสนเทศ และควบคุมการปฏิบัติงาน เพื่อให้คงไว้ซึ่งนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศของบริษัท
15. พนักงานของบริษัททุกคนต้องรับผิดชอบในการปฏิบัติตามนโยบายและแนวปฏิบัติของบริษัท ในการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของบริษัท รวมทั้งจะต้องไม่กระทำการละเมิดต่อกฎหมายที่เกี่ยวข้องกับการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
16. ไม่อนุญาตให้ผู้ใช้งานติดตั้ง แก้ไข เปลี่ยนแปลงโปรแกรมในเครื่องคอมพิวเตอร์ของบริษัท เว้นแต่ได้รับคำปรึกษาหรือคำแนะนำจากผู้ดูแลระบบ หรือได้รับอนุญาตจากผู้มีอำนาจสูงสุดของหน่วยงาน
17. กำหนดเส้นทางการเชื่อมต่อระบบเครือข่ายเพื่อการเข้าใช้งานระบบอินเทอร์เน็ต โดยต้องผ่านระบบรักษาความปลอดภัย ได้แก่ Firewall โดยเครื่องคอมพิวเตอร์ของบริษัทก่อนทำการเชื่อมต่อระบบเครือข่าย ต้องมีการติดตั้งโปรแกรมป้องกันไวรัสและทำการอุดช่องโหว่ของระบบปฏิบัติการก่อน และภายหลังจากใช้งานระบบอินเทอร์เน็ตเสร็จแล้ว ให้ผู้ใช้งานทำการปิดเว็บบราวเซอร์เพื่อป้องกันการเข้าใช้งานโดยบุคคลอื่น
18. ผู้ใช้งานต้องเข้าถึงแหล่งข้อมูลตามสิทธิ์ที่ได้รับตามหน้าที่ความรับผิดชอบเพื่อประสิทธิภาพของระบบเครือข่ายและความปลอดภัยของบริษัท โดยห้ามผู้ใช้งานเปิดเผยข้อมูลสำคัญที่เป็นความลับของบริษัท ยกเว้นเป็นไปตามหลักเกณฑ์การเปิดเผยอย่างเป็นทางการของบริษัท
19. ผู้ใช้งานจะต้องใช้ระบบอินเทอร์เน็ต ในลักษณะที่ไม่เป็นการละเมิดของบุคคลอื่น ๆ และจะต้องไม่ก่อให้เกิดความเสียหายขึ้นต่อบริษัท รวมทั้งจะต้องไม่กระทำการใดอันเข้าข่ายความผิดตามพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ หรือกฎหมายที่เกี่ยวข้องโดยเด็ดขาด ทั้งนี้ การใช้ระบบอินเทอร์เน็ตเพื่อการปฏิบัติงานของบริษัทในทุกกรณี ผู้ใช้งานจะต้องปฏิบัติตามขั้นตอนการปฏิบัติที่บริษัทกำหนดไว้อย่างเคร่งครัด
20. จัดลำดับชั้นความลับ ต้องมีการแบ่งประเภทของข้อมูลตามภารกิจและการจัดลำดับความสำคัญของข้อมูล กำหนดวิธีบริหารจัดการกับข้อมูลแต่ละประเภท รวมถึงกำหนดวิธีปฏิบัติกับข้อมูลลับหรือข้อมูลสำคัญก่อนการยกเลิกหรือการนำกลับมาใช้ใหม่ โดยการรับส่งข้อมูลสำคัญผ่านระบบเครือข่ายสาธารณะ ต้องได้รับการเข้ารหัส ที่เป็นมาตรฐานสากล เช่น การใช้ Secure Socket Layer การใช้ Virtual Private Network (VPN) เป็นต้น
21. มีมาตรการควบคุมความถูกต้องของข้อมูลที่จัดเก็บ นำเข้า ประมวลผล และแสดงผล ในกรณีที่มีการจัดเก็บข้อมูลเดียวกันไว้หลายที่ หรือมีการจัดเก็บชุดข้อมูลที่มีความสัมพันธ์กัน ต้องมีการควบคุมให้ข้อมูลมีความถูกต้องครบถ้วนตรงกัน รวมถึงมาตรการรักษาความปลอดภัยข้อมูลในกรณีที่นำเครื่องคอมพิวเตอร์ออกนอกพื้นที่ของบริษัท เช่น ส่งซ่อม เป็นต้น หรือทำลายข้อมูลที่เก็บอยู่ในสื่อบันทึกก่อน
22. มีการควบคุมการเข้าถึงข้อมูลและอุปกรณ์ในการประมวลผลข้อมูล โดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัยในการใช้งานระบบสารสนเทศ กำหนดกฎเกณฑ์ที่เกี่ยวกับการอนุญาตให้เข้าถึง กำหนดสิทธิ์เพื่อให้ผู้ใช้งานในทุกระดับได้รับรู้ เข้าใจ และสามารถปฏิบัติตามแนวทางที่กำหนดโดยเคร่งครัด และตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ โดยกำหนดสิทธิ์การใช้ข้อมูลและระบบสารสนเทศ เช่น สิทธิ์การใช้โปรแกรมระบบสารสนเทศ สิทธิ์การใช้งานอินเทอร์เน็ต เป็นต้น ให้แก่ผู้ใช้งานให้เหมาะสมกับหน้าที่และความรับผิดชอบ โดยต้องให้สิทธิ์เฉพาะเท่าที่จำเป็นแก่การปฏิบัติหน้าที่ และได้รับความเห็นชอบจากผู้มีอำนาจหน้าที่เป็นลายลักษณ์อักษร รวมทั้งทบทวนสิทธิ์ดังกล่าวอย่างสม่ำเสมอ
23. กรณีที่มีความจำเป็นที่ผู้ใช้งานซึ่งเป็นเจ้าของข้อมูลสำคัญมีการให้สิทธิ์ผู้ใช้งานรายอื่นให้สามารถเข้าถึงหรือแก้ไขเปลี่ยนแปลงข้อมูลของตนเองได้ เช่น การ Share Files เป็นต้น จะต้องเป็นการให้สิทธิ์เฉพาะรายหรือเฉพาะกลุ่มเท่านั้น และต้องยกเลิกการให้สิทธิ์ดังกล่าวในกรณีที่ไม่มีความจำเป็นแล้ว และเจ้าของข้อมูลต้องมีหลักฐานการให้สิทธิ์ดังกล่าว และต้องกำหนดระยะเวลาการใช้งาน และระงับการใช้งานทันทีเมื่อพ้นระยะเวลาดังกล่าว
24. กรณีที่มีความจำเป็นต้องให้สิทธิ์บุคคลอื่น ให้มีสิทธิ์ใช้งานระบบสารสนเทศและระบบเครือข่ายในลักษณะฉุกเฉินหรือชั่วคราว ต้องมีขั้นตอนหรือวิธีปฏิบัติ และต้องมีการขออนุมัติจากผู้มีอำนาจหน้าที่ทุกครั้ง บันทึกเหตุผลและความจำเป็น รวมถึงต้องกำหนดระยะเวลาการใช้งาน และระงับการใช้งานทันทีเมื่อพ้นระยะเวลาดังกล่าว
25. มีระบบตรวจสอบตัวตนจริงและสิทธิ์การเข้าใช้งานของผู้ใช้งาน ก่อนเข้าสู่ระบบสารสนเทศที่รัดกุมเพียงพอ เช่น กำหนดรหัสผ่านให้ยากแก่การคาดเดา เป็นต้น และต้องกำหนดให้ผู้ใช้งานแต่ละรายมีบัญชีผู้ใช้งานเป็นของตนเอง ทั้งนี้ การพิจารณาว่าการกำหนดรหัสผ่านมีความยากแก่การคาดเดาและการควบคุมการใช้รหัสผ่านมีความรัดกุมหรือไม่นั้น บริษัทจะใช้ปัจจัยดังต่อไปนี้ประกอบการพิจารณาในภาพรวม
26. จะต้องยืนยันตัวตนก่อนเข้าใช้งานระบบด้วยรหัสผ่านที่ผู้ดูแลกำหนด ควรเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ ในการเปลี่ยนรหัสผ่านแต่ละครั้ง ไม่ควรกำหนดให้ซ้ำของเดิม 3 ครั้งหลังสุด และเก็บรหัสไว้เป็นความลับ ไม่จดใส่กระดาษแล้วติดไว้หน้าเครื่อง กรณีผู้ใช้งานมีการใช้งานร่วมกันลักษณะ Shared Users ผู้ดูแลจะแจ้งผู้ใช้งานให้เปลี่ยนรหัสผ่านในการเข้าระบบงานนั้น เมื่อมีการเปลี่ยนแปลงของผู้ใช้งานในสังกัด
27. จัดให้มีระบบการตรวจสอบรายชื่อผู้ใช้งานของระบบงานสำคัญอย่างสม่ำเสมอ และดำเนินการตรวจสอบบัญชีรายชื่อผู้ใช้งานที่มิได้มีสิทธิ์ใช้
งานระบบแล้ว เช่น บัญชีรายชื่อของผู้ใช้งานที่ลาออกแล้ว บัญชีรายชื่อที่ติดมากับระบบ เป็นต้น พร้อมทั้งระงับการใช้งานโดยทันทีเมื่อตรวจพบ เช่น Disable เพื่อปิดการใช้งาน หรือ ลบออกจากระบบ หรือเปลี่ยนรหัสผ่าน เป็นต้น
28. จัดให้มี Data Center Room ให้เป็นสัดส่วน แบ่งส่วนระบบเครือข่าย ส่วนเครื่องคอมพิวเตอร์แม่ข่าย ส่วนเครื่องสำรองไฟฟ้า ส่วนแบตเตอรี่เครื่องสำรองไฟฟ้า เพื่อความสะดวกในการปฏิบัติงานและทำให้การควบคุมการเข้าถึงอุปกรณ์คอมพิวเตอร์สำคัญต่าง ๆ มีประสิทธิภาพมากขึ้น
29. จัดทำข้อตกลงสำหรับการถ่ายโอนข้อมูล โดยคำนึงถึงความมั่นคงปลอดภัยของข้อมูล และผู้ดูแลระบบต้องควบคุมการปฏิบัติงานนั้น ๆ ให้มีความปลอดภัยทั้ง 3 ด้าน คือ การรักษาความลับ การรักษาความถูกต้องของข้อมูล และการรักษาความพร้อมที่จะให้บริการ โดยกำหนดให้มีการรลงนามในสัญญาระหว่างบริษัทและหน่วยงานภายนอกว่าจะไม่เปิดเผยความลับของบริษัท ตลอดจนมีมาตรการในการติดตามและตรวจสอบการปฏิบัติงานและคุณภาพการให้บริการของผู้ให้บริการภายนอก ว่าเป็นไปตามสัญญาและข้อตกลง
7.หลักการเปิดเผย
GPI อาจเปิดเผยข้อมูลส่วนบุคคลของผู้มีส่วนเกี่ยวข้องดังที่กล่าวมาแล้วข้างต้น ให้แก่บุคคลหรือนิติบุคคลต่าง ๆ เพื่อให้บรรลุซึ่งวัตถุประสงค์ที่ได้แจ้งไว้ข้างต้นตามที่ระบุด้านล่างนี้
7.1 บุคคลหรือนิติบุคคลที่เป็นเจ้าของผลิตภัณฑ์ (Brand) เพื่อประโยชน์ในการรวบรวมประวัติการสั่งซื้อสินค้า ซึ่งบริษัทจะเปิดเผยเฉพาะเจ้าของผลิตภัณฑ์ หรือเฉพาะแต่ข้อมูลส่วนบุคคลอันจำเป็นต่อการดำเนินการเท่านั้น
7.2 หน่วยงานราชการตามที่บริษัทต้องปฏิบัติตามประกาศ หลักเกณฑ์ บทบัญญัติของกฎหมาย ได้แก่ กรมสรรพากร สำนักงานประกันสังคม กรมพัฒนาธุรกิจการค้า สำนักงานคณะกรรมการคุ้มครองผู้บริโภค สำนักงานมาตรฐานอุตสาหกรรม กรมศุลกากร กรมการจัดหางาน สำนักงานสวัสดิการและคุ้มครองแรงงาน กรมพัฒนาฝีมือแรงงาน ตลาดหลักทรัพย์แห่งประเทศไทย ธนาคารแห่งประเทศไทย
7.3 พันธมิตรของบริษัท บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่บุคคลอื่นที่มีข้อตกลงเป็นพันธมิตรกับบริษัท เช่น สถาบันการเงิน บริษัทประกันภัย สถานพยาบาล บริษัทหลักทรัพย์ บริษัทจัดการกองทุน เพื่อประโยชน์และสวัสดิการให้แก่ผู้มีส่วนเกี่ยวข้อง
7.4 ผู้ที่ให้บริการด้านที่วิชาชีพ ได้แก่ ที่ปรึกษาด้านการเงิน ที่ปรึกษากฎหมาย ที่ปรึกษาระบบคุณภาพ ผู้สอบบัญชี ผู้ตรวจสอบภายใน
7.5 ผู้ที่ให้บริการด้านโครงสร้างพื้นฐานและเทคโนโลยีสารสนเทศ การจัดเก็บข้อมูล ผู้ให้บริการคลาวด์
7.6 ผู้ที่ให้บริการด้านการตลาด การจัดทำข้อมูลในเชิงสถิติ การโฆษณา การประชาสัมพันธ์ และการติดต่อสื่อสาร
7.7 บุคคลอื่นใดที่กฎหมายกำหนด ในกรณีที่มีกฎหมาย กฎเกณฑ์ ระเบียบต่าง ๆ ที่เกี่ยวข้อง คำสั่งของหน่วยงานราชการ หน่วยงานที่มีหน้าที่ในการกำกับดูแล หรือคำสั่งของหน่วยงานตุลาการให้บริษัทเปิดเผยข้อมูลส่วนบุคคลของท่าน บริษัทจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลดังกล่าว
7.8 ผู้รับโอนสิทธิ และ/หรือหน้าที่จากบริษัท ในกรณีที่บริษัทประสงค์จะโอนสิทธิ และหน้าที่ของบริษัท รวมถึงการโอนกิจการบางส่วนหรือทั้งหมด การควบรวมกิจการ และการปรับเปลี่ยนโครงสร้างการถือหุ้นบริษัท บริษัทจำเป็นจะต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ผู้รับโอน (รวมถึงผู้ที่มีความเป็นไปได้ที่จะเป็นผู้รับโอน) โดยสิทธิและหน้าที่ของผู้รับโอนในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลของท่านจะเป็นไปตามนโยบายฯ ฉบับนี้ด้วย
8.หลักการมีส่วนร่วมของเจ้าของข้อมูล
นอกจากสิทธิพื้นฐานของเจ้าของข้อมูลส่วนบุคคลที่ GPI ได้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ได้แก่ สิทธิในการได้รับแจ้งข้อมูล การเข้าถึง ขอแก้ไข ขอลบข้อมูล การจำกัดการให้ข้อมูล การได้รับแจ้งเตือน ขอโอนย้ายข้อมูล สิทธิที่จะปฏิเสธการให้ใช้ข้อมูล สิทธิที่ไม่อนุญาตให้ใช้ระบบการตัดสินใจดำเนินการอัตโนมัติแล้ว เจ้าของข้อมูลส่วนบุคคลยังมีสิทธิตามที่กฎหมายบัญญัติไว้เป็นการเฉพาะ ได้แก่
8.1 การให้ความยินยอม เจ้าของข้อมูลส่วนบุคคลมีสิทธิเลือกที่จะให้ข้อมูลส่วนบุคคลใด ๆ ที่ GPI ร้องขอ และยินยอมให้ GPI เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวหรือไม่ก็ได้ เพียงแต่เจ้าของข้อมูลส่วนบุคคลต้องรับทราบว่าการให้ข้อมูลส่วนบุคคลที่ไม่ครบถ้วนตามที่บริษัทร้องขอ หรือการไม่ให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว อาจทำให้เจ้าของข้อมูลส่วนบุคคลถูกจำกัดสิทธิการใช้บริการบางอย่างของบริษัท หรือส่งผลให้บริษัทไม่สามารถให้บริการแก่เจ้าของข้อมูลส่วนบุคคลได้เลยหากข้อมูลดังกล่าวจำเป็นต่อบริษัทในการให้บริการแก่ท่าน
8.2 การเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคลเหล่านั้น หรือขอให้บริษัทส่งข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมูลเองหรือผู้ควบคุมข้อมูลส่วนบุคคลอื่น (หากข้อมูลดังกล่าวอยู่ในรูปแบบที่สามารถดำเนินการดังกล่าวได้) รวมทั้ง เจ้าของข้อมูลส่วนบุคคลยังสามารถขอให้บริษัทเปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลหากข้อมูลดังกล่าวเป็นข้อมูลที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมในการจัดเก็บ
8.3 การคัดค้าน เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บ ใช้ เปิดเผย ข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลส่วนบุคคล หากข้อมูลนั้นบริษัทจัดเก็บได้โดยไม่ต้องได้รับความยินยอมจากท่าน หรือข้อมูลนั้นเก็บ ใช้ หรือเปิดเผยเพื่อการตลาดแบบตรง หรือการเพื่อการศึกษาวิจัย
8.4 การลบ ทำลาย หรือระงับการใช้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอให้บริษัทลบ ทำลาย หรือระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่บริษัทเก็บรักษาไว้ หรือให้บริษัทดำเนินการให้ข้อมูลดังกล่าวกลายเป็นข้อมูลที่ไม่สามารถใช้ระบุตัวเจ้าของข้อมูลได้ หากเจ้าของข้อมูลส่วนบุคคลเพิกถอน หรือคัดค้านการเก็บใช้ เปิดเผย ข้อมูลส่วนบุคคลที่เกี่ยวกับท่าน หรือเมื่อไม่มีความจำเป็นที่จะต้องเก็บ ใช้หรือ เปิดเผยตามวัตถุประสงค์ที่ท่านได้ให้ความยินยอมไว้ หรือเมื่อบริษัทไม่ปฏิบัติตามกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
8.5 การแก้ไข เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอให้บริษัทดำเนินการแก้ไขให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่บริษัทจัดเก็บไว้เป็นข้อมูลที่ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
8.6 การถอนความยินยอม เจ้าของข้อมูลส่วนบุคคลมีสิทธิถอนความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้ แต่การถอนความยินยอมของท่านจะไม่กระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมไปแล้วก่อนหน้านี้ ทั้งนี้ การถอนความยินยอมดังกล่าวอาจทำให้บริษัทไม่สามารถให้บริการแก่ท่านต่อไปได้
ในการใช้สิทธิของท่าน ท่านรับทราบว่าสิทธิของท่านในฐานะเจ้าของข้อมูลส่วนบุคคลที่ระบุไว้ในข้อ 8.1 ถึง 8.6 ข้างต้น เป็นสิทธิที่มีข้อจำกัดตามกฎหมายที่เกี่ยวข้อง และบริษัทอาจปฏิเสธการใช้สิทธิของท่านหากบริษัทมีเหตุโดยชอบด้วยกฎหมายในการปฏิเสธการใช้สิทธิดังกล่าว
อย่างไรก็ตาม การใช้สิทธิในฐานะเจ้าของข้อมูลส่วนบุคคลตามที่ระบุไว้ในเอกสารฉบับนี้ ย่อมจำกัดไว้แต่เพียงแต่การให้บริการพื้นฐานที่ไม่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลเกิดค่าใช้จ่ายที่เกินความจำเป็น หากการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลของผู้เกี่ยวข้องได้ก่อให้เกิดค่าธรรมเนียม ค่าใช้จ่ายเพื่อการดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลจะต้องรับผิดชดใช้คืนเงินค่าดำเนินการต่าง ๆ ที่มีการขอใช้สิทธิเช่นว่านั้น
9. หลักการความรับผิดชอบ
9.1 ระยะเวลาที่ GPI จัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
นอกจากจะมีการระบุไว้เป็นการเฉพาะตามที่กฎหมายกำหนดไว้ GPI จะจัดเก็บข้อมูลส่วนบุคคลของผู้มีส่วนเกี่ยวข้องกับการดำเนินธุรกิจเป็นระยะเวลา 7 ปีนับจากที่ผู้มีส่วนเกี่ยวข้องดังกล่าวสิ้นสุดนิติสัมพันธ์กับ GPI เว้นแต่กรณีเป็นความจำเป็นที่เกี่ยวข้องกับการใช้หรือการโต้สิทธิเรียกร้องตามกฎหมาย การบังคับคดี การวางทรัพย์ หรือตามที่กฎหมายกำหนดไว้เป็นการเฉพาะ
9.2 ระบบการตรวจสอบถึงการลบ ทำลายข้อมูลส่วนบุคคลที่พ้นระยะเวลาจัดเก็บ
GPI ได้จัดให้มีระบบตรวจสอบเพื่อลบหรือทำลายข้อมูลส่วนบุคคลของผู้มีส่วนเกี่ยวข้อง เมื่อพ้นกำหนดระยะเวลาจัดเก็บหรือไม่เกี่ยวข้อง หรือเกินความจำเป็นตามวัตถุประสงค์ หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือขอถอนความยินยอม เว้นแต่เป็นกรณีที่ GPI ต้องทำการเก็บรักษาเพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น หรือเป็นไปตามข้อยกเว้นของกฎหมายที่บัญญัติไว้เป็นการเฉพาะ รวมถึงการใช้เพื่อการก่อสิทธิเรียกร้องตามกฎหมาย หรือเพื่อเป็นการปฏิบัติตามการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย
9.3 ข้อมูลเกี่ยวกับ GPI ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล
หากท่านประสงค์จะติดต่อ GPI เพื่อใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของท่าน หรือหากท่านมีข้อสงสัยอื่นใดเกี่ยวกับข้อมูลส่วนบุคคลของท่าน ท่านสามารถติดต่อ GPI ได้ตามรายละเอียดดังต่อไปนี้
ผู้ควบคุมข้อมูลส่วนบุคคล
บริษัท กรังด์ปรีซ์ อินเตอร์เนชั่นแนล จำกัด (มหาชน)
สำนักงานใหญ่ เลขที่ 4/299 หมู่ 5 ซอยลาดปลาเค้า 66 ถนนลาดปลาเค้า แขวงอนุสาวรีย์ เขตบางเขน กรุงเทพมหานคร 10220
โทรศัพท์ : 02-522-1731-8
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
นายอโณทัย เอี่ยมลำเนา
โทรศัพท์ : 09-9689-0570
e-mail address : DPO@grandprix.co.th
ให้นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ มีผลใช้บังคับตั้งแต่วันที่ 25 พฤษภาคม 2565.เป็นต้นไป
ประกาศมา ณ วันที่ 25 พฤษภาคม 2565
(ดร.ปราจิน เอี่ยมลำเนา)
ประธานเจ้าหน้าที่บริหาร
บริษัท กรังด์ปรีซ์ อินเตอร์เนชั่นแนล จำกัด (มหาชน)