ไทย ENG

CONTACT US
0-2026-6875

นโยบายคุ้มครองข้อมูลส่วนบุคคล

บริษัทหลักทรัพย์นายหน้าซื้อขายหน่วยลงทุน เวลธ์ เซอร์ติฟายด์ จำกัด (“บริษัท”) จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (“นโยบายฯ”) สำหรับบุคคลหรือนิติบุคคลที่มีความสัมพันธ์หรือดำเนินกิจกรรมกับบริษัท โดยบริษัทจะนำข้อมูลส่วนบุคคลตามความยินยอมของท่านไปใช้กับวัตถุประสงค์ตามนโยบายฯ ทั้งนี้ สาระสำคัญของนโยบายฯ เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึง กฎหมายที่เกี่ยวข้องหรือกฎหมายที่ออกตามใจความของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

คำจำกัดความ

First header Second header
ข้อมูลส่วนบุคคล
(Personal Data) 		ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ข้อมูลส่วนบุคคลที่อ่อนไหว
(Sensitive Information) 		ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้และมีความละเอียดอ่อน ได้แก่ ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่กฎหมายประกาศกำหนด
ผู้ควบคุมข้อมูลส่วนบุคคล
(Data Controller) 		บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งในที่นี้หมายถึง บริษัทหลักทรัพย์ที่ปรึกษาการลงทุน เวลธ์ เซอร์ติฟายด์ จำกัด
ผู้ประมวลผลข้อมูลส่วนบุคคล
(Data Processor) 		บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
การประมวลผลข้อมูลส่วนบุคคล การดำเนินการหรือชุดการดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย

ประเภทบุคคลที่อยู่ภายใต้นโยบาย

ประเภทบุคคลที่อยู่ภายใต้นโยบาย รายละเอียดและตัวอย่าง
1. ลูกค้าบุคคลธรรมดาของบริษัท ("ลูกค้าบุคคลธรรมดา") ลูกค้าบุคคลธรรมดาของบริษัท เช่น - ผู้ซึ่งใช้หรือเคยใช้ผลิตภัณฑ์ และ/หรือ บริการ - ผู้ติดต่อสอบถามข้อมูลผลิตภัณฑ์ และ/หรือ บริการ - ผู้ที่รับทราบข้อมูลผลิตภัณฑ์ และ/หรือ บริการผ่านช่องทางต่างๆ - ผู้ที่ได้รับการเสนอหรือชักชวนจากบริษัทให้ใช้หรือรับผลิตภัณฑ์ และ/หรือ บริการ
2. บุคคลธรรมดาที่มีความเกี่ยวข้องกับลูกค้านิติบุคคลของบริษัท หรือนิติบุคคลที่มีการทำธุรกรรมกับบริษัท ("บุคลากรของนิติบุคคล") บุคคลธรรมดาที่มีความเกี่ยวข้องกับลูกค้านิติบุคคลของบริษัท หรือนิติบุคคลที่มีการทำธุรกรรมกับบริษัท เช่น - ผู้ถือหุ้น - กรรมการ - ผู้มีอำนาจกระทำการแทน - หุ้นส่วนตัวแทน - พนักงาน เจ้าหน้าที่ และ/หรือ ผู้ที่ได้รับมอบหมาย
3. บุคคลธรรมดาที่มีความเกี่ยวข้องกับการทำธุรกรรมของบริษัทหรือลูกค้าของบริษัท บุคคลธรรมดาที่เกี่ยวข้องกับการทำธุรกรรมของบริษัทหรือลูกค้าของบริษัท เช่น - ผู้ติดต่อ - ลูกจ้าง พนักงาน เจ้าหน้าที่ บุคลากร - บุคคลในครอบครัว เพื่อน เพื่อนบ้าน - บุคคลที่ลูกค้าของบริษัทแนะนำหรืออ้างอิง - ผู้ลงทุน - คู่ค้า เจ้าหนี้ ลูกหนี้ ผู้ให้เช่า ผู้เช่า - บุคคลที่ได้ชำระเงินให้แก่หรือรับเงินจากลูกค้าของบริษัท - บุคคลอื่นใดที่บริษัทอาจได้รับข้อมูลส่วนบุคคลจากการทำธุรกรรมของลูกค้า - บุคคลที่ได้เข้าชมเว็บไซต์หรือแอปพลิเคชันหรือบัญชีสื่อสังคมออนไลน์ของบริษัท หรือเข้าใช้บริการที่สาขาหรือสำนักงานใหญ่ของบริษัท - ที่ปรึกษาด้านวิชาชีพ - บุคคลธรรมดาอื่นในทำนองเดียวกัน
4. บุคคลธรรมดาทั่วไป บุคคลธรรมดาทั่วไป เช่น - บุคคลที่บริษัทมีความสัมพันธ์ ปฏิสัมพันธ์ ติดต่อกันโดยประการอื่น หรือให้ข้อมูลส่วนบุคคลกับบริษัท หรือที่บริษัทได้รับข้อมูลส่วนบุคคลมาทั้งทางตรงและทางอ้อมไม่ว่าผ่านช่องทางใด

การเก็บรวบรวมข้อมูลส่วนบุคคล

บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลตามความจำเป็นและถูกต้องตามกฎหมาย เพื่อวัตถุประสงค์ในการดำเนินงานตามหน้าที่ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล ข้อมูลการเงิน และข้อมูลอื่นๆ ที่เกี่ยวข้อง โดยจะขอความยินยอมจากเจ้าของข้อมูลก่อนเสมอ โดยจำแนกดังนี้

ข้อมูลส่วนตัว เช่น ชื่อ-นามสกุล และ/หรือชื่อเล่น อายุ เพศ เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรต่างด้าว เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี รูปภาพใบหน้า ลายนิ้วมือ ลายมือชื่อ ข้อมูลอัตลักษณ์เสียง ข้อมูลพันธุกรรม วันเกิดและสถานที่เกิด สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่

ข้อมูลเพื่อใช้ในการติดต่อ เช่น ที่อยู่ตามบัตรประชาชน ที่อยู่ตามทะเบียนบ้าน ที่อยู่สถานที่ทำงาน อีเมล หมายเลขโทรศัพท์
ข้อมูลทางการเงิน เช่น ข้อมูลรายได้ เงินเดือน ค่าตอบแทน มูลค่าทรัพย์สิน เลขบัญชีธนาคาร เลขบัตรเครดิต สัดส่วนการถือหุ้น เลขที่เช็ค
ข้อมูลด้านอาชีพและคุณสมบัติ เช่น การศึกษา อาชีพ ตำแหน่ง ประสบการณ์การทำงาน รายละเอียดการทำงาน ใบคุณวุฒิ ใบประกาศนียบัตร ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
ข้อมูลการทำธุรกรรม เช่น ข้อมูลคำสั่งซื้อ-ขายหน่วย/หน่วยลงทุน/หุ้น จำนวนหน่วย/หน่วยลงทุน/หุ้น มูลค่าหน่วย/หน่วยลงทุน/หุ้น วันที่ชำระเงินค่าหน่วยลงทุน วันที่รับเงินค่าขายหน่วยลงทุน เลขที่บัญชีซื้อขายหน่วยลงทุน รหัสลูกค้า
ข้อมูลเทคโนโลยีสารสนเทศ เช่น ข้อมูลอุปกรณ์คอมพิวเตอร์หรือเครื่องมือสื่อสาร เช่น IP address, MAC address, Cookie ID, web browser, web page เว็บไซต์ที่อ้างถึงเว็บของบริษัท ข้อมูลการเชื่อมต่อผ่านช่องทางการเชื่อมต่อของเว็บไซต์

ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Data)

บริษัทอาจเก็บรวบรวมและใช้ ข้อมูลส่วนบุคคลที่อ่อนไหวของท่าน โดยจะขอความยินยอมจากท่านก่อนเก็บรวบรวมและใช้ ข้อมูลส่วนบุคคลที่อ่อนไหวที่บริษัทอาจเก็บรวบรวมและใช้ ได้แก่
(1) ศาสนา หมู่เลือด หรือข้อมูลสุขภาพของท่าน เป็นต้น เพื่อวัตถุประสงค์ในการเสนอสิทธิประโยชน์แก่ท่านได้อย่างเหมาะสม
(2) ประวัติอาชญากรรม เพื่อวัตถุประสงค์ในการคัดกรองบุคลากรเข้าทำงาน หรือบุคคลภายนอกที่ให้บริการเฉพาะด้านแก่บริษัท เช่น ผู้พัฒนาระบบ บริษัทผู้ติดตั้งและวางระบบเทคโนโลยีสารสนเทศ เป็นต้น รวมถึงแต่ไม่จำกัด การจัดระดับความเสี่ยงในการสร้างความสัมพันธ์ และ/หรือทำธุรกรรมกับบริษัท

การใช้ข้อมูลส่วนบุคคล

บริษัทจะใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งไว้และตามที่กฎหมายกำหนด โดยจะใช้ข้อมูลเฉพาะที่จำเป็นและไม่เกินขอบเขตของวัตถุประสงค์ที่กำหนด

  1. เพื่อใช้ในการพิจารณาการเปิดบัญชีกับบริษัทฯ และบริษัทหลักทรัพย์หรือบริษัทหลักทรัพย์จัดการกองทุนรวม ภายใต้คำแนะนำของบริษัท รวมถึง การซื้อ ขาย โอน หรือสับเปลี่ยนหน่วยลงทุนหรือหลักทรัพย์ภายใต้การให้คำแนะนำการลงทุนของบริษัท

  2. เพื่อใช้ในการวิเคราะห์การลงทุนให้เหมาะสมกับเจ้าของข้อมูลส่วนบุคคล
  3. เพื่อประโยชน์ในการให้คำแนะนำหรือคำปรึกษาเกี่ยวกับการลงทุนให้เหมาะสมกับเจ้าของข้อมูลส่วนบุคคล
  4. เพื่อใช้ในทางการตลาด การโฆษณา การส่งเสริม หรือสนับสนุนการขาย
  5. เพื่อประโยชน์ในการสมัครงานกับบริษัท หรือเป็นข้อมูลเพื่อพิจารณาถึงความเหมาะสมในตำแหน่งงานหรือหน้าที่ความรับผิดชอบภายใต้การจ้างงานของบริษัท
  6. เพื่อเก็บรวมรวม ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคลไปยังผู้ประมวลผลข้อมูลส่วนบุคคล
  7. เพื่อประโยชน์ในการตรวจสอบข้อมูล และนำส่งข้อมูลให้หน่วยงานที่มีอำนาจตามกฎหมาย

การประมวลผลข้อมูลส่วนบุคคลของบุคคลที่ยังไม่บรรลุนิติภาวะ หรือบุคคลผู้มีความบกพร่องในร่างกาย

บริษัทจะประมวลผลข้อมูลส่วนบุคคลของบุคคลที่ยังไม่บรรลุนิติภาวะ เช่น บุคคลที่มีอายุไม่ถึง 20 ปีบริบูรณ์ เป็นต้น ซึ่งจะสามารถประมวลผลได้ก็ต่อเมื่อได้รับความยินยอมจากผู้แทนโดยชอบธรรมได้แก่ บิดาโดยชอบด้วยฎหมาย หรือมารดาของผู้เยาว์ หรือผู้ปกครองตามกฎหมายของผู้เยาว์ เป็นต้น

สำหรับบุคคลผู้มีความบกพร่องทางการได้ยินหรือการมองเห็น หรือมีภาวะบกพร่องทางสุขภาพ หากบุคคลนั้นมีผู้พิทักษ์ตามกฎหมาย บริษัทจะขอความยินยอมจากผู้พิทักษ์ด้วยเช่นกัน

การเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก ยกเว้นได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นการเปิดเผยตามที่กฎหมายกำหนดหรืออนุญาต แก่บุคคลภายนอกได้แก่

บริษัทหลักทรัพย์ผู้ให้บริการซื้อขายหน่วยลงทุนหรือหลักทรัพย์ และบริษัทหลักทรัพย์จัดการกองทุนรวมภายใต้คำแนะนำของบริษัท

หน่วยงานกำกับดูแลหรือหน่วยงานที่มีอำนาจตามกฎหมาย ได้แก่

  • สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์
  • สำนักงานป้องกันและปราบปรามการฟอกเงิน
  • กระทรวงการคลัง
  • หน่วยงานกำกับดูแลที่เกี่ยวข้องกับตลาดทุนหรือตลาดเงิน

การประมวลผลอื่นๆ

  • การเปิดเผยข้อมูลส่วนบุคคลของท่านให้กับบุคคลอื่น จะดำเนินการภายใต้วัตถุประสงค์ที่กำหนด หรือวัตถุประสงค์อื่นที่กฎหมายกำหนดให้กระทำได้เท่านั้น ในกรณีที่กฎหมายกำหนดว่าต้องได้รับความยินยอมจากท่าน บริษัทจะขอความยินยอมโดยชัดแจ้งจากท่านก่อน

การคุ้มครองข้อมูลส่วนบุคคล

บริษัทมีมาตรการที่เหมาะสมเพื่อป้องกันการเข้าถึง การใช้ การแก้ไข และการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต เช่น การใช้เทคโนโลยีในการรักษาความปลอดภัย และการจัดฝึกอบรมให้กับพนักงาน รวมถึงจัดเก็บข้อมูลส่วนบุคคลโดยเก็บในรูปแบบเอกสารหลักฐานที่เป็นกระดาษ (hard copy) และในรูปแบบไฟล์อิเล็กทรอนิกส์ (soft file) ไว้ในสถานที่ที่ปลอดภัยและมีการควบคุมสิทธิการเข้าถึงข้อมูล และจัดเก็บข้อมูลส่วนบุคคลไว้ตลอดระยะเวลาที่ท่านได้ให้ความยินยอม จนกว่าจะมีการเพิกถอนความยินยอม เว้นแต่ การจัดเก็บข้อมูลส่วนบุคคลนั้นจะต้องจัดเก็บตามระยะเวลาที่กฎหมายเฉพาะได้กำหนดไว้

การเก็บรักษาข้อมูลส่วนบุคคล

บริษัทจัดเก็บข้อมูลส่วนบุคคลของท่านโดยเก็บในรูปแบบเอกสารหลักฐานที่เป็นกระดาษ (hard copy) และในรูปแบบไฟล์อิเล็กทรอนิกส์ (soft file) ไว้ในสถานที่ที่ปลอดภัยและมีการควบคุมสิทธิการเข้าถึงข้อมูล และจัดเก็บข้อมูลส่วนบุคคลไว้ตลอดระยะเวลาที่ท่านได้ให้ความยินยอม จนกว่าจะมีการเพิกถอนความยินยอม เว้นแต่ การจัดเก็บข้อมูลส่วนบุคคลนั้นจะต้องจัดเก็บตามระยะเวลาที่กฎหมายเฉพาะได้กำหนดไว้

สิทธิของเจ้าของข้อมูล

เจ้าของข้อมูลมีสิทธิในการเข้าถึง แก้ไข ลบข้อมูล และระงับการใช้ข้อมูลส่วนบุคคล รวมถึงสิทธิในการยกเลิกความยินยอมเมื่อใดก็ได้ โดยสามารถติดต่อบริษัทตามช่องทางที่กำหนด โดยสามารถดำเนินการดังนี้

  1. สิทธิในการเพิกถอนความยินยอม (right to withdraw consent) ท่านมีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมกับบริษัทได้ตลอดระยะเวลาที่ได้ให้ไว้กับบริษัท
  2. สิทธิในการได้รับแจ้งข้อมูลส่วนบุคคล (right to be informed) ท่านมีสิทธิในการได้รับแจ้งถึงข้อมูลส่วนบุคคลที่บริษัท จะทำการประมวลผล
  3. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of access) ท่านมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของท่านและขอรับสำเนาข้อมูลส่วนบุคคลของท่าน หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ท่านไม่ได้ให้ความยินยอม
  4. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification) ท่านมีสิทธิในการขอให้บริษัทแก้ไขข้อมูลที่ไม่ถูกต้อง หรือ เพิ่มเติมข้อมูลที่ไม่สมบูรณ์
  5. สิทธิในการลบข้อมูลส่วนบุคคล (right to erasure) ท่านมีสิทธิในการขอให้บริษัททำการลบข้อมูลของท่านด้วยเหตุบางประการได้
  6. สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing) ท่านมีสิทธิในการระงับการใช้ข้อมูลส่วนบุคคลของท่านด้วยเหตุบางประการได้
  7. สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability) ท่านมีสิทธิในการโอนย้ายข้อมูลส่วนบุคคลของท่านที่ท่านให้ไว้กับบริษัทไปยังผู้ควบคุมข้อมูลรายอื่น หรือ ตัวท่านเองด้วยเหตุบางประการได้
  8. สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object) ท่านมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของท่านได้ด้วยเหตุบางประการ
  9. สิทธิในการไม่ตกอยู่ภายใต้การตัดสินใจอัตโนมัติเพียงอย่างเดียว (right not to be subject to automated individual decision-making, including profiling)

การจัดการข้อร้องเรียน

หากเจ้าของข้อมูลมีข้อร้องเรียนเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล บริษัทจะดำเนินการตรวจสอบและแก้ไขข้อร้องเรียนโดยเร็วที่สุด โดยเจ้าของข้อมูลสามารถติดต่อบริษัทผ่านช่องทางต่อไปนี้:

  • โทรศัพท์: 02-026-6875 ต่อ 9901
  • อีเมล: compliance@wealthcertified.co.th
  • ที่อยู่: 287 อาคารลิเบอร์ตี้สแควร์ ชั้นที่ 22 ห้องเลขที่ 2201 ถนนสีลม แขวงสีลม เขตบางรัก กรุงเทพฯ 10500

การปรับปรุงนโยบาย

บริษัทจะทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคลให้เป็นปัจจุบันเป็นประจำทุกปีเพื่อให้สอดคล้องกับแนวปฏิบัติ และ กฎหมาย ข้อบังคับที่เกี่ยวข้องเมื่อมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลแก้ไขเปลี่ยนแปลง หรือมีประกาศที่เกี่ยวข้องกับกฎหมายคุ้มครองส่วนบุคคลใช้บังคับกับบริษัท

บริษัทขอสงวนสิทธิ์ในการปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ โดยจะแจ้งให้ทราบผ่านช่องทางที่เหมาะสม

ช่องทางการติดต่อ

หากมีข้อสงสัยเกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคล สามารถติดต่อได้ที่:

  • โทรศัพท์: 02-026-6875 ต่อ 9901
  • อีเมล: dpo@wealthcertified.co.th
  • ที่อยู่: 287 อาคารลิเบอร์ตี้สแควร์ ชั้นที่ 22 ห้องเลขที่ 2201 ถนนสีลม แขวงสีลม เขตบางรัก กรุงเทพฯ 10500

แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Practices)

หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล

  1. 1. จัดทำในการแจ้งรายละเอียดเกี่ยวกับการเก็บ รวบรวมใช้ และเปิดเผยข้อมูลส่วนบุคคล เช่น ประกาศเตือน (Privacy Notice) ต่างๆ เช่น การเตือนเรื่องกล้องวงจรปิด การประกาศคุ้มครองข้อมูลในด้านทรัพยากรบุคคล
  2. 2. จัดทำมาตรการการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล ตามมาตรฐานของนโยบายความมั่นคงปลอดภัย ซึ่งประกอบด้วย การเสริมสร้างความตระหนักรู้เกี่ยวกับความสำคัญของข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย (privacy and security awareness) การควบคุมการเข้าถึงและใช้งาน (access control) และ การกำหนดสิทธิเข้าถึงและใช้งาน (authorization) อย่างเหมาะสม

2.1 ระบุความเสี่ยงสำคัญที่อาจจะเกิดขึ้นพิจารณา 3 ด้าน ลักษณะ ประเภทข้อมูลส่วนบุคคล (มีข้อมูลอ่อนไหวหรือไม่)  จำนวนข้อมูล และ ผลกระทบที่อาจจะเกิดขึ้น หากข้อมูลรั่วไหล

2.2 ทำ Access Control, การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน และการจัดให้มีวิธีการเพื่อให้ตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง

2.3 ทบทวนมาตรการรักษาความมั่นคงปลอดภัย 3 ส่วนคือ บุคลากร กระบวนการ และ เทคโนโลยี

  1. 3. การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล

3.1 กำหนดระดับความเสี่ยง 3 ระดับ คือ ไม่เสี่ยง เสี่ยงน้อย เสี่ยงสูง

3.2 กำหนดแนวทางป้องกันความเสียหาย ผลกระทบที่อาจเกิดขึ้นในปัจจุบัน และอนาคต รวมถึงหาแนวทางการบรรเทาผลกระทบ

3.3 เมื่อทราบและประเมินความเสี่ยงแล้วว่ามีการละเมิด หรือข้อมูลรั่วไหล ต้องแจ้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)ภายใน 72 ชั่วโมง กรณีเสี่ยงสูงต้องแจ้งเจ้าของข้อมูลด้วย

  1. 4. การจัดทำบันทึกรายการ (Record of Processing Activity : RoPA) ตามที่กฎหมายกำหนด เพื่อให้เจ้าของข้อมูลและสำนักงานสามารถตรวจสอบได้ ซึ่งวิธีการจัดทำบันทึกจะเป็นเอกสารกระดาษหรือระบบอิเล็กทรอนิกส์

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้องค์กรมีหน้าที่ตามมาตรา 39

ในการจัดให้มีบันทึกรายการกิจกรรมอย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้

(1) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ซึ่งได้แก่คำอธิบายเกี่ยวกับประเภทของบุคคล (categories of individual) หรือประเภทของข้อมูลส่วนบุคคล (categories of personal data) ที่องค์กรทำการประมวลผล

(2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท

(3) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ได้แก่ ชื่อ และรายละเอียดการติดต่อขององค์กรรวมถึงเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

(4) ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

(5) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น

(6) การใช้หรือเปิดเผยตามมาตรา 27 วรรคสาม กล่าวคือ หากองค์กรใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26 องค์กรต้องบันทึกการใช้หรือเปิดเผยนั้นไว้ในรายการตามมาตรา 39 ด้วย ซึ่งในทางปฏิบัติหมายความถึง

            (1) ให้ระบุฐานทางกฎหมายในการประมวลผล

(2) ให้ระบุการเปิดเผยข้อมูลส่วนบุคคลไปยังบุคคลภายนอก และ

(3) ให้ระบุการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

(7) การบันทึกรายละเอียดการปฏิเสธคำขอหรือการคัดค้านการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา 30 วรรคสาม (สิทธิในการเข้าถึง) มาตรา 31 วรรคสาม (สิทธิในการขอให้โอนข้อมูล) มาตรา 32 วรรคสาม (สิทธิในการคัดค้านการประมวลผล) และมาตรา 36 วรรคหนึ่ง (สิทธิในการขอแก้ไขข้อมูลให้ถูกต้อง) ตามเงื่อนไขที่กฎหมายกำหนด

(8) คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37 (1) โดยในการจัดทำบันทึกรายการกิจกรรมฯ หรือ Record of Processing Activities (ROPA)  องค์กรอาจจัดเตรียมบันทึกรายการกิจกรรมฯ โดยพิจารณาดังนี้

(1) องค์กรที่มีหน้าที่ต้องจัดให้มีการบันทึกรายการกิจกรรมฯ ต้องสอบทานในส่วนของวัตถุประสงค์การประมวลผล การเปิดเผยข้อมูลส่วนบุคคล และระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

(2) องค์กรต้องสามารถให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตรวจสอบบันทึกรายการกิจกรรมฯ ได้

(3) บันทึกรายการกิจกรรมฯ ช่วยให้องค์กรสามารถปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเด็นอื่นๆ ได้ดียิ่งขึ้น และช่วยสร้างธรรมาภิบาลของข้อมูล

(4) ทั้งผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ในการจัดทำเอกสารบันทึกรายการกิจกรรมฯ

(5) การทำผังวงจรชีวิตของข้อมูลจะช่วยตรวจสอบกิจกรรมการประมวลผลข้อมูลส่วนบุคคลในองค์กรให้ถูกต้องเป็นปัจจุบัน

(6) บันทึกรายการกิจกรรมฯ ต้องมีความถูกต้องเป็นปัจจุบันและสะท้อนการประมวลผลข้อมูลส่วนบุคคลในองค์กร ดังนั้น เมื่อมีความเปลี่ยนแปลงเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่มีผลกระทบต่อความถูกต้องสมบูรณ์ของบันทึกรายการกิจกรรมอาทิ มีการโอนข้อมูลเพิ่มเติมไปยังองค์กรอื่น ๆ ทั้งในและต่างประเทศ หรือมีการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล จึงต้องมีการแก้ไขบันทึกรายการกิจกรรมฯ ด้วยเป็นต้น

ในส่วนข้อแนะนำในการจัดทำบันทึกรายการกิจกรรมฯ มีข้อแนะนำเพิ่มเติมตามแนวปฏิบัติที่ดีของUK ICO ซึ่งเป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของอังกฤษ ดังนี้

1) ในการทำบันทึกกิจกรรมฯ องค์กรควรดำเนินการ ดังนี้

1.1) ทบทวนการประมวลผลขององค์กรว่ามีการเก็บรวบรวมข้อมูลส่วนบุคคลประเภทใดบ้าง

1.2) มีการสอบทานข้อเท็จจริงกับบุคคลต่าง ๆ ในองค์กรเพื่อให้ได้ข้อมูลที่ถูกต้องเกี่ยวกับกิจกรรมการประมวลผล

1.3) ได้ทำการทบทวนนโยบาย แนวทางปฏิบัติ สัญญาหรือข้อตกลงซึ่งเกี่ยวข้องกับระยะเวลาการจัดเก็บข้อมูล มาตรการด้านความมั่นคงปลอดภัย และการเปิดเผยหรือการโอนข้อมูล

2) ในการจัดทำบันทึกรายการกิจกรรมฯ องค์กรได้ทำการเชื่อมโยงข้อมูลดังนี้

2.1) ข้อมูลที่ต้องแจ้งหรือเปิดเผยในประกาศความเป็นส่วนตัว (Privacy Notice)

2.2) บันทึกความยินยอม

2.3) ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล

2.4) แหล่งที่เก็บของข้อมูลส่วนบุคคล

2.5) การประเมินความเสี่ยงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

2.6) บันทึกเหตุการละเมิดข้อมูลส่วนบุคคล

2.7) องค์กรควรจัดทำบันทึกรายการกิจกรรมในรูปแบบอิเล็กทรอนิกส์ ซึ่งสามารถเพิ่มเติมลบออก และแก้ไขข้อมูลได้โดยง่าย

นอกจากนี้ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังอาจกำหนดเงื่อนไขบางประการเพิ่มเติมเกี่ยวกับการจัดทำบันทึกรายการกิจกรรมฯ ได้ดังนี้

(1) กำหนดยกเว้นให้ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กตามหลักเกณฑ์ที่คณะกรรมการฯ กำหนดไม่ต้องจัดทำบันทึกรายการกิจกรรมฯ

(2) กำหนดให้ “ผู้ประมวลผลข้อมูลส่วนบุคคล” มีหน้าที่จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมฯ ตามหลักเกณฑ์และวิธีการที่คณะกรรมการฯ ประกาศกำหนด

ซึ่งในปัจจุบันได้มีประกาศคณะกรรมการฯ ตามข้อ (1) แล้ว ได้แก่ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565 ซึ่งเมื่อพิจารณาคู่มือปฏิบัติงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ แล้วพบว่า ประกาศฉบับดังกล่าวไม่เกี่ยวข้องกับบริษัทฯ เนื่องจากบริษัทฯ ไม่อยู่ในลักษณะของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก ที่กฎหมายกำหนดให้มีการยกเว้นการดำเนินการตามมาตรา 39 วรรคหนึ่ง (1) (2) (3) (4) (5) (6) และ (8) ในเรื่องการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลแต่อย่างใด

บทบาทหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)

บริษัทฯซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคล ต้องทำการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ซึ่งได้รับมอบหมายเพื่อทำหน้าที่ดูแล ให้คำแนะนำ หรือตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลในองค์กร ให้เป็นไปตามกฎหมายที่ได้กำหนดไว้

  1. ให้คำแนะนำ แก่ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล หรือผู้ที่เกี่ยวข้อง ยกตัวอย่างเช่น สร้างความตระหนักรู้ (Awareness) ในเรื่องการจัดการข้อมูลส่วนบุคคลอย่างถูกวิธีให้กับพนักงานในองค์กร เช่น จัดอบรมให้ความรู้ PDPA กับคณะทำงานและพนักงานในการใช้ข้อมูลส่วนบุคคลให้ถูกต้องปลอดภัย ตาม PDPA
  2. ตรวจสอบการดำเนินงาน เกี่ยวกับการเก็บรวบรวม/ใช้/เปิดเผยข้อมูลส่วนบุคคล ของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล หรือผู้ที่เกี่ยวข้อง ตรวจสอบการบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) ให้ถูกต้องครบถ้วน และตรวจสอบการละเมิดนโยบายการจัดการข้อมูลส่วนบุคคลเช่นการนำข้อมูลไปใช้นอกเหนือจากวัตถุประสงค์ที่ระบุในประกาศนโยบายการขอคำยินยอม
  3. ประสานงานและให้ความร่วมมือ กับสำนักงานคุ้มครองข้อมูลส่วนบุคคล (หรือหน่วยงานที่เกี่ยวข้อง) ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น เมื่อเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลจากองค์กร เป็นผู้ประสานงานในการออกจดหมายแจ้งเตือนข้อมูลรั่วไหล ให้กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง
  4. รักษาความลับ ของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่

บทบาทและหน้าที่และแนวทางการปฏิบัติงานของผู้บริหารระดับสูง

คณะกรรมการบริษัทและผู้บริหารระดับสูงมีส่วนร่วมในการวางนโยบายและการปฏิบัติงานของฝ่ายต่างๆดังนี้

  • กำหนดนโยบายและกลยุทธ์การดำเนินงานของบริษัทให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมถึงแต่งตั้ง และตรวจสอบการทำงานของ DPO
  • ควบคุมและตรวจสอบการดำเนินงานของฝ่ายต่างๆ ให้เป็นไปตามนโยบายคุ้มครองข้อมูลส่วนบุคคล
  • สร้างความสัมพันธ์และประสานงานกับหน่วยงานต่างๆที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
  • ตัดสินใจในเรื่องสำคัญที่มีผลกระทบต่อข้อมูลส่วนบุคคลของบริษัท ร่วมกันประเมินความเสี่ยงให้สอดคล้องกับนโยบายคุ้มครองข้อมูลส่วนบุคคล

นโยบายนี้ปรับปรุงล่าสุดเมื่อวันที่ 30 สิงหาคม 2567  โดยได้รับอนุมัติจาก คณะกรรมการบริษัทเมื่อวันที่  30 สิงหาคม 2567   มีผลบังคับใช้นับตั้งแต่วันที่ประกาศใช้วันที่ 2 กันยายน 2567 เป็นต้นไป

Copyright © 2022 Wealth Certified. All Rights Reserved. | Powered by Fresh Digital

You cannot copy content of this page