นโยบายคุ้มครองข้อมูลส่วนบุคคล

บริษัท แสตนดาร์ด เพอร์ฟอร์แม้นซ์ จำกัด (“บริษัท”) และบริษัทในเครือ ได้ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนส่งเสริมและสนับสนุนให้บุคลากรและบุคคลทั่วไปที่เกี่ยวข้องกั บบริษัทฯได้รับทราบ และให้มีผลบังคับใช้กับผู้บริหาร พนักงาน และผู้เกี่ยวข้องทั้งหมดที่ต้องได้รับความคุ้มครองทางกฎหมาย ซึ่งการนำข้อมูลส่วนบุคคลไปแสวงหาประโยชน์โดยมิชอบ หรือเปิดเผยข้อมูลที่อาจทำให้เกิดความเสียหายหรือทำให้สามารถระบุถึง ตัวบุคคลโดยมิชอบถือเป็นการกระทำละเมิดกฎหมาย ดังนั้น เพื่อให้มีกรอบการบริหารจัดการข้อมูลส่วนบุคคล ทั้งการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และควบคุมการปฏิบัติงานภายในบริษัทให้เป็นไปตามพระราชบัญญัติคุ้ม ครองข้อมูลส่วนบุคคล และกฎหมายที่เกี่ยวข้อง เพื่อให้มั่นใจได้ว่าข้อมูลส่วนบุคคลของทุกคนจะได้รับความคุ้มครองตาม ที่กฎหมายกำหนด และทำการเผยแพร่นโยบายดังกล่าวนี้ให้แก่เจ้าของข้อมูลส่วนบุคคล ตลอดจนพนักงาน คู่ค้าของบริษัทได้รับทราบ บริษัทจึงได้จัดทำ “นโยบายคุ้มครองข้อมูลส่วนบุคคล” ฉบับนี้ซึ่งครอบคลุมรายละเอียด และการดำเนินงานดังต่อไปนี้

1. ขอบเขตการบังคับใช้

(1) นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ให้บังคับใช้กับบริษั ทและพนักงานของบริษัท รวมถึงบริษัทในเครือคือ บริษัท เอสเอ็มอี ไลน์ จำกัด

(2) การคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ครอบคลุมการประมวลผ ลข้อมูลทั้งหมด ตั้งแต่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทุกรูปแบบ เช่น กระดาษ อิเล็กทรอนิกส์ เสียง หรือรูปแบบอื่นใด

(3) การคุ้มครองข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ มีวัตถุประสงค์เพื่อให้ความคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลทุกคน ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะบุคคลดังต่อไปนี้

  • กรรมการบริษัท
  • ผู้สมัครงาน
  • พนักงาน
  • ลูกจ้างชั่วคราวและนักศึกษาฝึกงาน
  • ผู้เยี่ยมชมงาน หรือ Website
  • ผู้รับจ้างเหมาบริการ หรือคู่ค้า
  • ข้อมูลส่วนบุคคลที่ได้มาจากการรับจ้างประมวลผลข้อมูล
  • ลูกค้าและผู้มาติดต่อ

(4) ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของประเทศผู้รับโอนมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลสูงกว่าที่กำหนดในเอกสารฉบับนี้ ให้บริษัท และบริษัทในเครือ ปฏิบัติตามกฎหมายดังกล่าว

(5) ในกรณีที่ไม่มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของประเทศผู้รับโอนใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคล หรือเป็นกรณีที่กฎหมายของประเทศนั้นมีมาตรฐานต่ำกว่าที่กำหนดในเอกสารฉบับนี้ บริษัท และบริษัทในเครือจะต้องปฏิบัติตามเงื่อนไขที่กำหนดในเอกสารฉบับนี้

2. คำจำกัดความในนโยบายฉบับนี้

“บริษัท” หมายถึง บริษัท แสตนดาร์ด เพอร์ฟอร์แม้นซ์ จำกัด

“บริษัทในเครือ” หมายถึง บริษัท เอสเอ็มอี ไลน์ จำกัด

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม ตัวอย่างข้อมูลส่วนบุคคล

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

“บุคคล” หมายถึง บุคคลธรรมดา

“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer : DPO) หมายถึง ผู้ที่ได้รับมอบหมายให้มีหน้าที่ให้คำแนะนำและตรวจสอบการดำเนินการ ประสานงานและให้ความร่วมมือกับสำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมถึงหน่วยงานอื่นที่เกี่ยวข้องนโยบายและแนวปฎิบัติ

3. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม

ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมผ่านช่องทางต่างๆ ประกอบด้วยข้อมูลดังต่อไปนี้

(1) ข้อมูลส่วนตัว เช่น ชื่อ นามสกุล วันเดือนปีเกิด เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี

(2) ข้อมูลที่ใช้ในการติดต่อ เช่น ที่อยู่ อีเมล เบอร์โทรศัพท์

(3) ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address, MAC Address และ Cookie ID

(4) ข้อมูลทางชีวมิติ (Biometric) เช่น รูปจำลองภาพใบหน้า ลายนิ้วมือ ฟิล์มเอกซเรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง และข้อมูลพันธุกรรม เป็นต้น

(5) ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์ และโฉนดที่ดิน เป็นต้น

(6) ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด เชื้อชาติ สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่ (Location) ข้อมูลการแพทย์ ข้อมูลการศึกษา ข้อมูลทางการเงิน และข้อมูลการจ้างงาน เป็นต้น

(7) ข้อมูลเกี่ยวกับการทำงาน เช่น การประเมินผลการปฎิบัติงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง

(8) ข้อมูลบันทึกต่างๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่างๆ ของบุคคล เช่น log file เป็นต้น

(9) ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเตอร์เน็ต

(10) ข้อมูลการใช้บริการหรือการเข้าทำสัญญา

(11) ข้อมูลด้านเทคนิค เช่น ข้อมูลการเข้าใช้งานระบบ อุปกรณ์ หรือเว็บไซต์ของบริษัท

4. ช่องทางในการเก็บรวบรวมข้อมูล

บริษัทอาจทำการเก็บรวบรวมข้อมูลส่วนบุคคลผ่านช่องทางต่างๆ ดังนี้

(1) เก็บรวบรวมจากการที่ท่านให้ข้อมูลส่วนบุคคลของท่านกับบริษัทโดยตรงในการเข้าทำธุรกรรมต่างๆ กับบริษัท หรือจากการติดต่อสื่อสารกับบริษัท

(2) เก็บรวบรวมจากการเข้าใช้งานระบบ อุปกรณ์อิเล็กทรอนิกส์ เว็บไซต์ แอปพลิเคชัน หรือช่องทางออนไลน์ต่างๆ

(3) เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น เช่น การได้รับข้อมูลจากคู่ค้า แหล่งข้อมูลสาธารณะ

5. ฐานการประมวลผลข้อมูลส่วนบุคคล

ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่าน บริษัทอาศัยฐานในการประมวลผลดังนี้

กิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคล ฐานการประมวลผล
กิจกรรมเกี่ยวกับการบริหารจัดการด้านทรัพยากรบุคคลในบริษัท ซึ่งรวมถึงการจัดการด้านสวัสดิการต่างๆ

- ฐานสัญญา

- ฐานการปฏิบัติตามกฎหมาย

- ฐานความยินยอม

การทำสัญญาทั้งกรณีที่บริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล - ฐานสัญญา
การจัดงาน โครงการ หรือการจัดกิจกรรม การประชาสัมพันธ์ผลงานหรือโครงการบริษัท เพื่อประชาสัมพันธ์ข้อมูลข่าวสาร ผลิตภัณฑ์หรือบริการของบริษัท การวิเคราะห์และประมวลผลข้อมูลส่วนบุคคล และการทำการตลาด - ฐานความยินยอม
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ตามที่กฎหมายกำหนด หรือตามคำสั่งของหน่วยงาน หรือเจ้าพนักงานที่มีอำนาจตามกฎหมาย - ฐานการปฏิบัติตามกฎหมาย
การรักษาความปลอดภัยในพื้นที่ของบริษัท ซึ่งรวมถึงความปลอดภัยด้านระบบต่างๆ ของบริษัท - ฐานความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย
6. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

บริษัทกำหนดระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลของท่านตามประเภทของกิจกรรม ดังนี้

(1) การสมัครเป็นสมาชิก หรือการใช้บริการต่างๆ บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลไว้ 90 วันนับจากที่สิ้นสุดการสมัครเป็นสมาชิก หรือการใช้บริการต่างๆ

(2) การทำข้อตกลงหรือสัญญาต่างๆ บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลไว้ตามอายุความที่กฎหมายกำหนดสูงสุดไม่เกิน 10 ปี นับแต่สัญญาสิ้นสุดลง

(3) กิจกรรมที่เกี่ยวข้องในด้านการบริหารจัดการทรัพยากรบุคคล บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลไว้ 90 วัน นับจากวันที่สิ้นสุดความเป็นบุคลากรในองค์กร

เมื่อพ้นกำหนดระยะเวลาที่กำหนด หรือในกรณีที่หมดความจำเป็นในการเก็บข้อมูลส่วนบุคคลอีกต่อไป บริษัทอาจจะทำการลบ หรือทำให้ข้อมูลส่วนบุคคลของท่านไม่สามารถระบุตัวบุคคลก็ได้ หรือยังคงเก็บรวบรวมไว้หากมีความจำเป็นตามกฎหมาย อย่างไรก็ตามเจ้าของข้อมูลมีสิทธิที่จะแจ้งให้บริษัททราบหากเจ้าของข้อมูลต้องการที่จะลบข้อมูลไม่ว่าเวลาใดๆ เว้นแต่ในกรณีที่บริษัทยังมีความจำเป็นที่จะต้องเก็บรวบรวมข้อมูลส่วนบุคคลไว้ และอยู่ภายใต้ฐานการประมวลผลโดยชอบด้วยกฎหมาย

7. ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลอาจเปิดเผย

บริษัทอาจทำการเปิดเผยข้อมูลส่วนบุคคลของท่านให้กับผู้สอบบัญชีของบริษัท ผู้ตรวจสอบภายนอกของบริษัท และหน่วยงานราชการ ตามกฎหมายกำหนด คู่ค้า หรือผู้ให้บริการภายนอกซึ่งเป็นผู้ประมวลผลข้อมูลให้กับบริษัทเป็นต้น

8. สิทธิของเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลสามารถร้องขอใช้สิทธิตามกฎหมายดังนี้

(1) สิทธิในการเพิกถอนความยินยอม (right to withdraw consent) เจ้าของข้อมูลมีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมกับบริษัทได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลนั้นอยู่กับบริษัท

(2) สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of access) เจ้าของข้อมูลมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลและขอให้บริษัททำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้กับเจ้าของข้อมูลได้ รวมถึง ขอให้บริษัทเปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลไม่ได้ยินยอมต่อบริษัทได้

(3) สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification) เจ้าของข้อมูลมีสิทธิในการขอให้บริษัทแก้ไขข้อมูลที่ถูกต้อง หรือเพิ่มเติมข้อมูลที่ไม่สมบูรณ์ได้

(4) สิทธิในการลบข้อมูลส่วนบุคคล (right to erasure) เจ้าของข้อมูลมีสิทธิในการขอให้บริษัททำการลบข้อมูลด้วยเหตุบางประการได้

(5) สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing) เจ้าของข้อมูลมีสิทธิในการระงับการใช้ข้อมูลส่วนบุคคลด้วยเหตุบางประการได้

(6) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability) เจ้าของข้อมูลมีสิทธิในการโอนย้ายข้อมูลส่วนบุคคลที่ได้ให้ไว้กับบริษัทไปยังผู้ควบคุมข้อมูลรายอื่นหรือเจ้าของข้อมูลเองด้วยเหตุบางประการได้

(7) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object) เจ้าของข้อมูลมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลด้วยเหตุบางประการได้

การร้องขอใช้สิทธิข้างต้นนั้น เจ้าของข้อมูลจะต้องกระทำเป็นลายลักษณ์อักษร และบริษัทจะใช้ความพยายามอย่างดีที่สุดที่จะดำเนินการในระยะเวลาที่สมเหตุสมผลและไม่เกินระยะเวลาที่กฎหมายกำหนด โดยบริษัทจะปฎิบัติตามข้อกำหนดทางกฎหมายที่เกี่ยวกับสิทธิของท่านในฐานะที่ท่านเป็นเจ้าของข้อมูลส่วนบุคคลนั้น

ข้อจำกัดในการให้บริการด้านต่างๆ ในกรณีที่เจ้าของข้อมูลขอให้บริษัท ลบ ทำลาย ระงับ ขอให้โอนการคัดค้าน หรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้หรือถอนความยินยอม อาจทำให้เกิดข้อจำกัดกับบริษัทในการทำธุรกรรมหรือการให้บริการกับเจ้าของข้อมูลในบางกรณีได้ ทั้งนี้ภายใต้ข้อกำหนด เงื่อนไขของการยินยอมใช้บริการด้านต่างๆ และตามที่กฎหมายกำหนด

การใช้สิทธิดังกล่าวข้างต้น บริษัทขอสงวนสิทธิ์ในการคิดค่าบริการใดๆ ที่เกี่ยวข้องและจำเป็นต่อการเข้าดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลตามที่เจ้าของข้อมูลร้องขอ

9. การดำเนินการเมื่อมีการขอใช้สิทธิ

บริษัทจะเปิดเผยรายละเอียดข้อมูลส่วนบุคคลต่อเมื่อได้รับคำร้องขอจากเจ้าของข้อมูล ผู้สืบสิทธิทายาท ผู้แทนโดยชอบธรรม หรือผู้พิทักษ์ตามกฎหมาย โดยสามารถยื่นคำร้องขอในเรื่องต่างๆ ตามสิทธิของเจ้าของข้อมูล ทั้งนี้ บริษัทจะดำเนินการให้แล้วเสร็จภายในระยะเวลาที่สมเหตุสมผล แต่ไม่เกินระยะเวลาตามที่กฎหมายกำหนดไว้

เมื่อบริษัทได้รับคำร้องขอใช้สิทธิ บริษัทจัดให้มีการบันทึกการขอใช้สิทธิไว้เป็นหลักฐาน และในกรณีที่บริษัทปฏิเสธการดำเนินการตามคำร้องขอ บริษัทจะทำการบันทึกเหตุผลการปฏิเสธไว้เพื่อประโยชน์ในการตรวจสอบ

10. การรักษาความมั่นคงปลอดภัย

บริษัทมีมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลอย่างเหมาะสม เช่น การป้องกันการสูญหายของข้อมูลโดยมิชอบ การป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยมิชอบ การป้องกันการใช้ข้อมูลส่วนบุคคลโดยมิชอบ การบันทึกผู้เข้าชมเว็บไซต์ (Log File) การกำหนดสิทธิและข้อจำกัดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของพนักงาน การทำลายสื่อบันทึกต่างๆ ได้แก่ กระดาษ Flash Drive แผ่น CD-DVD ฮาร์ดดิสก์ เป็นต้น เพื่อป้องกันมิให้ข้อมูลสูญหาย การเข้าถึง ทำลาย ใช้ แปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต

ในกรณีที่บริษัทมอบหมายหรือทำสัญญาให้บุคคลอื่นใดทำการประมวลผลข้อมูลส่วนบุคคลให้กับบริษัท บริษัทจะดำเนินการเพื่อให้มั่นใจได้ว่าผู้ประมวลผลข้อมูลได้จัดให้มีการดำเนินการและมีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่กฎหมายกำหนด

11. คุกกี้ (Cookies) และการใช้คุกกี้

ในการเข้าชมเว็บไซต์ของ บริษัทฯ อาจมีการวางคุกกี้ไว้ในอุปกรณ์ของผู้เข้าชม และมีการเก็บรวบรวม ข้อมูลโดยอัตโนมัติ คุกกี้บางส่วนมีความจําเป็นเพื่อให้เว็บไซต์สามารถทํางานได้อย่างเหมาะสม และบางส่วนเป็น คุกกี้ที่มีไว้เพื่ออํานวยความสะดวกแก่ผู้เข้าชมเว็บไซต์สามารถศึกษาข้อมูลเพิ่มเติมได้ในนโยบายคุกกี้ของ บริษัท

12. ผู้รับการติดต่อ และช่องทางในการติดต่อ

หากมีเหตุร้องเรียนเกี่ยวกับข้อมูลส่วนบุคคล ท่านสามารถติดต่อ ประสานงานมายังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ตามรายละเอียดนี้

บริษัท แสตนดาร์ด เพอร์ฟอร์แม้นซ์ จำกัด

ผู้ควบคุมข้อมูลส่วนบุคคล และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

145 ซอยลาดพร้าว 71 ถนนนาคนิวาส แขวงลาดพร้าว เขตลาดพร้าว กรุงเทพฯ 10230
หมายเลขติดต่อ : 02 932 5971 ต่อ 413
วันจันทร์ – วันศุกร์ : เวลา 08.00 น. - 17.00 น.
อีเมล : hrs@spc1991.com

13. การเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะทำการพิจารณาทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคลเป็นประจำ เพื่อให้สอดคล้องกับแนวปฎิบัติ ข้อบังคับ และกฎหมายอื่นที่เกี่ยวข้อง

กรณีมีการเปลี่ยนแปลงนโยบายบริษัทจะแจ้งให้ทราบ โดยการเผยแพร่ผ่านทางเว็บไซต์ของบริษัท https://www.spc1991.com โดยเร็วที่สุด

นโยบายฉบับนี้มีผลใช้บังคับตั้งแต่ วันที่ 1 มิถุนายน 2565