นโยบายความเป็นส่วนตัว

Privacy Policy

นโยบายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

กลุ่มบริษัท เอเอสซี กรุ๊ป ( ASC Group ) ซึ่งประกอบไปด้วย บริษัท แอดวานซ์ ซิสเต็มส์ คอนซัลติ้ง จำกัด บริษัท แอดวานซ์ เพอซเนล แอนด์ โซลูชั่น จำกัด บริษัท แอดวานซ์ แอดมินนิสเตรชั่น จำกัด บริษัท แอดวานซ์ ไอเซอร์วิส จำกัด บริษัท แอดวานซ์ เอาท์ซอร์สซิ่ง เซอร์วิสเซส จำกัด ต่อจากนี้ ในนโยบายฉบับนี้จะเรียกว่า “บริษัท” ซึ่งให้ความสำคัญกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จึงได้จัดทำนโยบายความเป็นส่วนตัวขึ้น เพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และแจ้งทราบ ถึงวัตถุประสงค์และรายละเอียดในการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลตลอดจนถึงสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

1. นโยบายความเป็นส่วนตัวนี้ใช้สำหรับใคร

นโยบายความเป็นส่วนตัวฉบับนี้ใช้สำหรับ พนักงานและบุคคลากรของกลุ่มบริษัท ASC Group เพื่อทราบถึงวัตถุประสงค์และรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลตลอดจนสิทธิตามกฎหมาย ของเจ้าของข้อมูลส่วนบุคคล และให้ปฏิบัติตามนโยบายนี้

2. ประเภทของข้อมูลส่วนบุคคล

2.1 ข้อมูลส่วนบุคคล หมายถึง ข้อมูลที่สามารถระบุตัวตนของท่านได้ ไม่ว่าทางตรงหรือทางอ้อม และอื่น ๆ ที่เชื่อมโยงกับตัวตนของบุคคล (แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม)
2.2 ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data)
           ข้อมูลส่วนบุคคลประเภทอ่อนไหว (Sensitive Personal Data) หมายถึง ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเรื่องส่วนตัวที่ละเอียดอ่อน ซึ่งหากถูกเปิดเผยหรือนำไปใช้ในทางที่ผิด อาจส่งผลกระทบต่อเจ้าของข้อมูลอย่างร้ายแรง เช่น การถูกเลือกปฏิบัติ การถูกคุกคาม หรือการสูญเสียโอกาสต่างๆ เช่น
เชื้อชาติหรือชาติพันธุ์: ข้อมูลที่บ่งบอกถึงเชื้อชาติหรือชาติพันธุ์ของบุคคล
ความคิดเห็นทางการเมือง: ข้อมูลที่แสดงถึงความคิดเห็นหรือความเชื่อทางการเมืองของบุคคล
ความเชื่อในลัทธิ ศาสนา หรือปรัชญา: ข้อมูลที่แสดงถึงความเชื่อทางศาสนาหรือปรัชญาของบุคคล
พฤติกรรมทางเพศ: ข้อมูลที่เกี่ยวข้องกับพฤติกรรมทางเพศของบุคคล
ประวัติอาชญากรรม: ข้อมูลที่เกี่ยวข้องกับประวัติการกระทำความผิดทางอาญาของบุคคล
ข้อมูลสุขภาพ: ข้อมูลที่เกี่ยวข้องกับสุขภาพร่างกายหรือสุขภาพจิตของบุคคล
ข้อมูลสหภาพแรงงาน: ข้อมูลที่เกี่ยวข้องกับการเป็นสมาชิกสหภาพแรงงานของบุคคล
ข้อมูลพันธุกรรม: ข้อมูลที่เกี่ยวข้องกับพันธุกรรมของบุคคล
ข้อมูลชีวภาพ: ข้อมูลที่เกี่ยวข้องกับลักษณะทางชีวภาพของบุคคล เช่น ลายนิ้วมือ ภาพใบหน้า ม่านตา
ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
2.3 ข้อมูลผู้เยาว์ ข้อมูลผู้เสมือนไร้ความสามารถ
           ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ที่มีอายุไม่เกิน 20 ปีซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนบุคคลซึ่งบรรลุนิติภาวะ ต้องขอความยินยอมจากผู้เยาว์และหรือผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย ในกรณีผู้เยาว์ที่มีอายุไม่เกิน 10 ปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
           ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ที่มีอายุไม่เกิน 20 ปีซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนบุคคลซึ่งบรรลุนิติภาวะ ต้องขอความยินยอมจากผู้เยาว์และหรือผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย ในกรณีผู้เยาว์ที่มีอายุไม่เกิน 10 ปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
           ในกรณีที่ได้จัดเก็บข้อมูลมาโดยความไม่ตั้งใจ จะต้องดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลนั้นหรือทำให้พิสูจน์ตัวตนไม่ได้โดยทันที หรือเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลเหล่านั้นเฉพาะกรณีที่บริษัทสามารถอาศัยฐานทางกฎหมายอื่นโดยไม่ต้องอาศัยความยินยอม
           ซึ่งในนโยบายฉบับนี้ จะเรียกข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลอ่อนไหว ข้อมูลผู้เยาว์ ข้อมูลผู้เสมือนไร้ความสามารถว่า “ข้อมูลส่วนบุคคล”

3. วัตถุประสงค์ในการเก็บข้อมูลส่วนบุคคล

บริษัทจะดำเนินการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย ทั้งนี้ ฐานทางกฎหมายที่บริษัทอาจใช้อ้างอิงประกอบการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมีดังต่อไปนี้

4. การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล

การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนดให้ขอความยินยอมและต้องแจ้งวัตถุประสงค์ที่ใช้ในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือระหว่างจัดเก็บข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่ได้มากจากแหล่งอื่นจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบแหล่งข้อมูลที่ได้มาภายใน 30 วัน

5. การเก็บรักษาและระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

           ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล จัดเก็บไว้เท่าที่จำเป็นเพื่อวัตถุประสงค์ในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ตามระยะเวลาที่มีความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคล และอาจเก็บไว้ตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความทางกฎหมาย เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามกฎหมายหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
           ข้อมูลส่วนบุคคลทั่วไปที่หมดความสัมพันธ์ตามวัตถุประสงค์แล้ว สามารถจัดเก็บข้อมูลไว้ได้ไม่น้อยกว่า 2 ปี หรือสามารถจัดเก็บไว้ได้ 10 ปีตามกฎหมายแพ่งและพาณิชย์ หรือจนกว่าการจะสิ้นสุดอายุความ
           ข้อมูลประวัติอาชญากรรม จัดเก็บได้ไม่เกิน 6 เดือนนับจากสิ้นวัตถุประสงค์การใช้งาน โดยให้ลบ ทำลายข้อมูลประวัติอาชญากรรม ให้ไม่สามารถระบุตัวตนเจ้าของข้อมูลได้ แต่ถ้าองค์กรต้องการจะจัดเก็บเอาไว้นานกว่าที่กฎหมายกำหนดอาจพิจารณาถึงความจำเป็นของการจัดเก็บข้อมูล และต้องขอความยินยอมกับเจ้าของข้อมูลส่วนบุคคลอย่างชัดเจนกับระยะเวลาที่ต้องการจัดเก็บและระบุวัตถุประสงค์ในการเก็บเกินกว่าที่กฎหมายกำหนดอย่างชัดเจนด้วย

6. การเก็บรักษาข้อมูลส่วนบุคคล

           การจัดเก็บข้อมูลส่วนบุคคล ตามมาตรฐานความมั่นคงปลอดภัยทางไซเบอร์ หรือเรียกว่า CIA Triad (Confidentiality) การรักษาความลับ (Integrity) ความถูกต้องและความครบถ้วน (Availability) ความพร้อมใช้งาน ซึ่งมีความหมายดังนี้
           Confidentiality การรักษาความลับ หมายถึงการปกป้องข้อมูลหรือระบบให้สามารถเข้าถึงได้เฉพาะผู้ที่มีสิทธิ์เท่านั้น เช่น การใช้การเข้ารหัส (Encryption) การควบคุมการเข้าถึง (Access Control) เพื่อป้องกันข้อมูลจากการถูกเปิดเผยหรือเข้าถึงโดยไม่ได้รับอนุญาต
           Integrity ความถูกต้องและความครบถ้วน หมายถึงการป้องกันไม่ให้ข้อมูลหรือระบบถูกดัดแปลงแก้ไข โดยไม่ได้รับอนุญาต และการตรวจสอบให้แน่ใจว่าข้อมูลที่เก็บไว้หรือส่งต่อยังคงความถูกต้องและครบถ้วนเสมอ เช่นการใช้แฮช (Hashing) การสำรองข้อมูล (Backup) และการตรวจสอบความถูกต้องของข้อมูล (Data Validation)
           Availability ความพร้อมใช้งาน หมายถึงการทำให้ข้อมูลหรือระบบสามารถเข้าถึงและใช้งานได้เมื่อผู้ใช้ต้องการ เช่น การมีระบบสำรองไฟฟ้า (UPS) การป้องกัน DDoS (Distributed Denial of Service) และการมีแผนการกู้คืนระบบ (Disaster Recovery Plan)

7. การเปิดเผยข้อมูลส่วนบุคคล

การเปิดเผยข้อมูลส่วนบุคคล จะต้องเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งและขอความยินยอมเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลไว้ การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ต้องได้รับความยินยอมในบางกรณี เพื่อที่จะปฏิบัติตามข้อผูกพันทางกฎหมาย ตามที่กฎหมายบังคับใช้ หรือเพื่อที่จะตอบสนองต่อกระบวนการทางกฎหมายโดยชอบ เช่น หมายค้น คำสั่งศาล หรือหมายเรียก ซึ่งรวมถึงกรณีที่บริษัทจำเป็นสำหรับประโยชน์โดยชอบด้วยกฎหมายอันเกี่ยวกับความมั่นคงของประเทศ การบังคับใช้กฎหมาย การฟ้องร้องคดี การสอบสวนทางอาญา การคุ้มครองความปลอดภัยของบุคคลใดๆ หรือเพื่อป้องกันการเสียชีวิตหรือการเป็นอันตรายแก่ร่างกาย หากบริษัทเห็นว่าประโยชน์โดยชอบด้วยกฎหมายหรือสิทธิและเสรีภาพขั้นพื้นฐานที่กำหนดให้ต้องมีการคุ้มครองข้อมูลส่วนบุคคล

8. สิทธิของเจ้าของข้อมูลส่วนบุคคล

8.1 สิทธิได้รับการแจ้งให้ทราบ (Right to be informed):
           เจ้าของข้อมูลมีสิทธิที่จะได้รับทราบรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตน เช่น วัตถุประสงค์ของการเก็บรวบรวม ผู้ควบคุมข้อมูล และระยะเวลาในการเก็บรักษา
8.2 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of access):
           เจ้าของข้อมูลมีสิทธิที่จะขอเข้าถึงและขอสำเนาข้อมูลส่วนบุคคลของตนที่ผู้ควบคุมข้อมูลเก็บรวบรวมไว้
8.3 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to rectification):
           เจ้าของข้อมูลมีสิทธิที่จะขอให้แก้ไขข้อมูลส่วนบุคคลของตนที่ไม่ถูกต้อง หรือไม่สมบูรณ์
8.4 สิทธิในการลบข้อมูลส่วนบุคคล (Right to erasure):
           เจ้าของข้อมูลมีสิทธิที่จะขอให้ลบข้อมูลส่วนบุคคลของตนในบางกรณี เช่น เมื่อข้อมูลนั้นหมดความจำเป็น หรือเมื่อเจ้าของข้อมูลถอนความยินยอม
8.5 สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (Right to restriction of processing):
           เจ้าของข้อมูลมีสิทธิที่จะขอให้ระงับการใช้ข้อมูลส่วนบุคคลของตนในบางกรณี เช่น เมื่อเจ้าของข้อมูลคัดค้านการประมวลผล หรือเมื่อข้อมูลนั้นไม่ถูกต้อง
8.6 สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (Right to data portability):
           เจ้าของข้อมูลมีสิทธิที่จะขอให้โอนย้ายข้อมูลส่วนบุคคลของตนไปยังผู้ควบคุมข้อมูลรายอื่น ในกรณีที่สามารถทำได้โดยวิธีการทางอิเล็กทรอนิกส์
8.7 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to object):
           เจ้าของข้อมูลมีสิทธิที่จะคัดค้านการประมวลผลข้อมูลส่วนบุคคลของตนในบางกรณี เช่น เมื่อการประมวลผลนั้นทำเพื่อวัตถุประสงค์ทางการตลาดโดยตรง
8.8 ฐานจดหมายเหตุ/วิจัย/สถิติ (Historical Document, Research, or Statistics):
           ในกรณีที่ผู้ควบคุมข้อมูลอาศัยฐานความยินยอมในการประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิที่จะถอนความยินยอมเมื่อใดก็ได้

การถอนความยินยอมของเจ้าของข้อมูลส่วนบุคคล จะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงเหตุจำเป็นกับการดำเนินการต่าง ๆ อาจส่งผลให้บริษัทไม่สามารถปฏิบัติตามสัญญาหรืออาจส่งผลให้กิจกรรมอื่นใดที่เกี่ยวข้องถูกระงับ หรือหยุดลงชั่วคราว หรืออาจส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล ได้ทราบก่อนถอนความยินยอม การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฏิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิข้างต้นของเจ้าของข้อมูลส่วนบุคคลได้ เช่น ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล เพื่อประโยชน์สาธารณะ การใช้สิทธิอาจละเมิดสิทธิหรือเสรีภาพของบุคคคลอื่น และการขอยกเลิกสิทธิไม่มีผลย้อนหลังต่อการประมวลผลข้อมูลที่ได้ดำเนินการไปแล้วก่อนการถอนความยินยอม

9. ช่องทางการติดต่อ

กลุ่มบริษัท ASC Group
เลขที่ 25 อาคารกรุงเทพประกันภัย ชั้น 18 ยูนิต 6 ถนนสาทรใต้
แขวงทุ่งมหาเมฆ เขตสาทร กรุงเทพฯ 10120
โทร. 02-679-1940-3, 02-677-4072-3 กด 511
Email: PDPA@grpasc.com

10. การเปลี่ยนแปลงข้อมูลนโยบายเป็นส่วนตัว

บริษัทอาจพิจารณาทบทวนเพื่อแก้ไขเพิ่มเติม ปรับปรุง หรือเปลี่ยนแปลง นโยบายฉบับนี้เป็นครั้งคราวตามความเหมาะสมและเท่าที่กฎหมายอนุญาติ ทั้งนี้ ในกรณีที่มีการแก้ไขเพิ่มเติม ปรับปรุง หรือเปลี่ยนแปลงนโยบายฉบับนี้ บริษัทจะดำเนินการประกาศนโยบายฉบับปัจจุบันให้ท่านทราบผ่านหน้าเว็บไซต์ของบริษัท