ไทย ENG

CONTACT US
0-2026-6875

นโยบายคุ้มครองข้อมูลส่วนบุคคล

         บริษัท หลักทรัพย์นายหน้าซื้อขายหน่วยลงทุน เวลธ์ เซอร์ติฟายด์ จำกัด (“บริษัทฯ”) ได้จัดทำ และประกาศใช้บังคับภายในองค์กร สำหรับนโยบายคุ้มครองข้อมูลส่วนบุคคล เพื่อปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พ.ร.บฯ”) เรียบร้อยแล้ว

         บริษัทฯ จึงได้ประกาศความเป็นส่วนตัวฉบับนี้ขึ้น (“ประกาศ”) เพื่อแจ้งให้ท่านทราบเกี่ยวกับนโยบายในการคุ้มครองข้อมูลส่วนบุคคล และการประมวลผลข้อมูลส่วนบุคคล และสิทธิของท่านในฐานะเจ้าของข้อมูลส่วนบุคคลตาม พ.ร.บฯ  ทั้งนี้ บริษัทฯ จะทบทวนและปรับปรุงประกาศนี้ให้มีความสอดคล้องกับ พ.ร.บ.ฯ

1. วัตถุประสงค์การประมวลผล

         บริษัทฯ ได้ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลของท่าน เพื่อดำเนินการตามสัญญาที่ท่านได้ทำไว้กับบริษัทฯ และเพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้อง โดยมีวัตถุประสงค์ดังนี้

         ก. เพื่อใช้ในการพิจารณาการเปิดบัญชีกับบริษัทฯ และบริษัทหลักทรัพย์หรือบริษัทหลักทรัพย์จัดการกองทุนรวม ภายใต้คำแนะนำของบริษัท รวมถึงการซื้อ
             ขาย โอน หรือสับเปลี่ยนหน่วยลงทุนหรือหลักทรัพย์ภายใต้การให้คำแนะนำการลงทุนของบริษัท

         ข. เพื่อประมวลผลข้อมูลส่วนบุคคลของท่าน เพื่อปฏิบัติตามสัญญา หรือข้อตกลงใดๆ ซึ่งได้ทำสัญญาหรือข้อตกลงใดๆ ระหว่างท่านและบริษัท

         ค. เพื่อใช้ในการวิเคราะห์การลงทุนให้เหมาะสมกับเจ้าของข้อมูลส่วนบุคคล

         ง. เพื่อประโยชน์ในการให้คำแนะนำหรือคำปรึกษาเกี่ยวกับการลงทุนให้เหมาะสมกับเจ้าของข้อมูลส่วนบุคคล

         จ. เพื่อใช้ในทางการตลาด การโฆษณา การส่งเสริม หรือสนับสนุนการขาย

         ฉ. เพื่อประโยชน์ในการสมัครงานกับบริษัท หรือเป็นข้อมูลเพื่อพิจารณาถึงความเหมาะสมในตำแหน่งงานหรือหน้าที่ความรับผิดชอบภายใต้การจ้าง
             งานของบริษัท

         ช. เพื่อเก็บรวบรวม ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคลไปยังผู้ประมวลผลข้อมูลส่วนบุคคล

         ซ. เพื่อประโยชน์ในการตรวจสอบข้อมูล และนำส่งข้อมูลให้หน่วยงานที่มีอำนาจตามกฎหมาย

         ฌ. เพื่อประโยชน์อันชอบธรรมของบริษัทฯ ในการประมวลผลข้อมูลส่วนบุคคลของท่าน โดยบริษัทฯ จะให้ความสำคัญกับประโยชน์และสิทธิเสรีภาพของท่าน
              เทียบเท่ากับประโยชน์ดังกล่าว

         ญ. เพื่อวัตถุประสงค์ตามที่ท่านได้ให้ความยินยอมโดยชัดแจ้งแก่บริษัทฯ

         ฎ. เพื่อปกป้องหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ ซึ่งท่านไม่สามารถให้ความยินยอมในขณะนั้นได้ ไม่ว่าด้วยเหตุผลใดก็ตาม

2. ข้อมูลส่วนบุคคล และแหล่งการเก็บรวบรวม

       บริษัทฯ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน  ทั้งนี้ บริษัทฯ อาจจะได้รับข้อมูลส่วนบุคคลจากท่าน ในฐานะลูกค้าที่ซื้อสินค้าหรือบริการของบริษัท และลูกค้าสมาชิกที่ติดต่อซื้อสินค้าจากบริษัทฯ ผ่านช่องทางWebsite หรือช่องทางอื่นๆ ไม่ว่าได้รับข้อมูลส่วนบุคคลโดยตรง หรือได้รับจากบุคคลภายนอก ซึ่งท่านได้ให้ความยินยอมอย่างชัดแจ้งในการอนุญาตให้ส่งหรือโอนข้อมูลส่วนบุคคลของท่าน

ทั้งนี้ บริษัทฯ ได้จำแนกข้อมูลส่วนบุคคลของท่านซึ่งบริษัทฯ ได้เก็บรวบรวมดังนี้

ข้อมูลส่วนบุคคลของลูกค้า

ประเภทข้อมูล

บริษัทฯ ได้รับโดยตรง

บริษัทฯ ได้รับจากบุคคลที่ได้รับความยินยอมโดยชัดแจ้งจากท่าน

แหล่งข้อมูลอื่นฯ ซึ่งท่านจงใจเปิดเผยข้อมูลส่วนบุคคล*

ข้อมูลส่วนตัว (ชื่อนามสกุล เลขบัตรประชาชน ภาพบนสำเนาบัตรประชาชน)

ใช่

ใช่

ไม่ใช่

ข้อมูลการติดต่อ (ที่อยู่ เบอร์โทรศัพท์ อีเมล์ หรือการติดต่อผ่านสื่อโซเซียล)

ใช่

ใช่

ไม่ใช่

ข้อมูลการทำธุรกรรมกับบริษัทฯ (การซื้อสินค้าหรือบริการของบริษัทฯ, บทสนทนาระหว่างพนักงานบริษัทฯและท่าน, ข้อมูลการเข้าใช้งานWebsiteของบริษัทฯฯ, แบบสำรวจความเห็นของลูกค้า, หนังสือร้องเรียนเกี่ยวกับสินค้าหรือบริการ และเรื่องอื่นๆ ของบริษัทฯ, ข้อมูลการเข้าร่วมกิจกรรมทางการตลาดของบริษัทฯ, ข้อมูลทานด้านการเงิน, ภาพถ่ายลูกค้าขณะรับสินค้า)

ใช่

ใช่

ใช่

 *เมื่อบริษัทฯ ได้รับข้อมูลส่วนบุคคลของท่านจากแหล่งอื่น บริษัทฯ จะรีบแจ้งให้ทราบโดยเร็วตามกฎหมาย

3. การเปิดเผยข้อมูลส่วนบุคคล

         บริษัทฯ จะไม่เปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่บุคคลภายนอก เว้นแต่จะเป็นการดำเนินการตามคำสั่งของท่าน หรือได้รับความยินยอมอย่างชัดแจ้งจากท่านก่อนการเปิดเผยดังกล่าว

4. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

          บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคลของท่านตลอดระยะเวลาตามสัญญาหรือข้อตกลงที่ได้ทำกับท่าน เพื่อให้บรรลุวัตถุประสงค์การประมวลผลที่ได้ระบุไว้หรือที่แจ้งให้ทราบ  ทั้งนี้ บริษัทฯ ขอสงวนสิทธิในการเก็บรักษาข้อมูลส่วนบุคคลไว้ 2 ปีนับจากวันสิ้นสุดสัญญาหรือข้อตกลงดังกล่าว เพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้อง 

         เมื่อสิ้นสุดระยะเวลาที่จำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้ระบุไว้หรือที่แจ้งให้ทราบ  บริษัทฯ จะดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลตามมาตรการคุ้มครองความมั่นคงปลอดภัยข้อมูลส่วนบุคคล และนโยบายคุ้มครองข้อมูลส่วนบุคคลที่บริษัทฯได้ประกาศใช้ภายในองค์กร  

5. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

         บริษัทฯ จะไม่ส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ เว้นแต่บริษัทฯ จะได้รับความยินยอมจากท่าน หรือมีฐานอำนาจตามกฎหมายที่อนุญาตให้บริษัทฯ สามารถดำเนินการได้ ทั้งนี้ บริษัทฯ จะดำเนินการตามมาตรการคุ้มครองความมั่นคงปลอดภัยข้อมูลส่วนบุคคล และนโยบายคุ้มครองข้อมูลส่วนบุคคลที่บริษัทฯได้ประกาศใช้ภายในองค์กร 

6. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

         บริษัทฯ เคารพสิทธิของเจ้าของข้อมูลส่วนบุคลตามพ.ร.บ.ฯ นี้ และท่านสามารถใช้สิทธิดังกล่าวได้ โดยติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และช่องทางการใช้สิทธิเจ้าของข้อมูลส่วนบุคคลที่ระบุไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคล  ทั้งนี้ บริษัทฯ จะพิจารณาดำเนินการโดยเร็ว โดยไม่ช้าเกินกว่า 30 วัน เว้นแต่บริษัทฯ ไม่ได้รับ หรือได้รับไม่ครบถ้วน สำหรับข้อมูลที่จำเป็นในการพิจารณาดำเนินการตามคำขอใช้สิทธิจากท่าน

สิทธิของเจ้าของข้อมูลส่วนบุคคล

รายละเอียด

สิทธิในการขอถอนความยินยอม

เมื่อบริษัทฯ ได้ประมวลผลข้อมูลส่วนบุคคลของท่านหลังจากได้ให้ความยินยอมจากท่านแล้ว ท่านในฐานะเจ้าของข้อมูลฯ มีสิทธิในเพิกถอนความยินยอมเมื่อใดก็ได้ ทั้งนี้ บริษัทฯ อาจจะประมวลผลข้อมูลส่วนบุคคลของท่านต่อไป ในกรณีที่บริษัทฯ สามารถอ้างฐานกฎหมายอื่นตามที่พ.ร.บ.ฯ นี้

 

กรณีที่ถอนความยินยอม หากจะมีผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลของท่าน บริษัทฯ จะแจ้งให้ทราบ เพื่อดำเนินการยืนยันคำร้องขอใช้สิทธิอีกครั้งก่อน

สิทธิในการเข้าถึงและขอสำเนาข้อมูลส่วนบุคคล

ท่านมีสิทธิที่จะเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของตนที่บริษัทฯ รับผิดชอบอยู่ และมีสิทธิขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม

สิทธิในการขอให้ส่งต่อ/โอนข้อมูลส่วนบุคคล

ท่านมีสิทธิขอให้บริษัทฯ ส่งหรือโอนข้อมูลส่วนบุคคลของท่าน ได้ในกรณีที่บริษัทฯ จัดให้ข้อมูลนั้นอยู่ในรูปแบบอิเล็กทรอนิกส์  ทั้งนี้ ข้อมูลส่วนบุคคลที่ขอใช้สิทธินั้น และการประมวลผลข้อมูลของผู้รับโอนนั้น จะดำเนินได้เฉพาะกรณีได้รับความยินยอมจากท่าน หรือมีความจำเป็นเพื่อประมวลผลข้อมูลในการปฏิบัติตามสัญญา

สิทธิในการคัดค้านการเก็บรวบรวม/ใช้/เปิดเผยข้อมูลของตน

ท่านมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ เว้นแต่เป็นการดำเนินการที่บริษัทฯ ต้องปฏิบัติตามกฎหมาย หรือบริษัทฯ ต้องใช้เป็นหลักฐานในการดำเนินคดีตามกฎหมาย

 

สิทธิในการขอให้ลบ/ทำลายหรือทำ ให้ข้อมูลนั้น ไม่เป็นข้อมูลส่วนบุคคล

ท่านมีสิทธิขอให้บริษัทฯ ลบ หรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวตนของท่านได้ในกรณีบริษัทฯ ไม่มีความจำเป็นในการประมวลผลข้อมูลของท่านต่อไป ทั้งนี้บริษัทฯ อาจคัดค้านการใช้สิทธินั้นหากการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เป็นกรณีที่บริษัทฯ ดำเนินการเพื่อปฏิบัติตามกฎหมาย หรือเป็นกรณีเพื่อใช้ประกอบการดำเนินคดีตามกฎหมายของบริษัทฯ

สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล

ท่านมีสิทธิที่จะขอให้บริษัทฯ ระงับการใช้ข้อมูลส่วนบุคคลของท่านชั่วคราว เช่น เมื่อท่านขอให้แก้ไขข้อมูลให้ถูกต้อง หรือเมื่อขอให้บริษัทฯ แสดงฐานกฎหมายในการประมวลผลข้อมูลตามกฎหมาย

สิทธิในการขอให้ดำเนินการให้ข้อมูลถูกต้องและเป็นปัจจุบัน

ท่านมีสิทธิขอให้บริษัทฯ ดำเนินการให้ข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน และสมบูรณ์

สิทธิในการยื่นเรื่องร้องเรียน

ท่านมีสิทธิยื่นเรื่องร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากเห็นว่าการประมวลผลข้อมูลส่วนบุคลของท่านไม่ชอบด้วยกฎหมาย หรือไม่เป็นไปตามพ.ร.บฯ นี้

7. มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

         บริษัทฯ ได้จัดทำมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กำหนดไว้ในพ.ร.บ.ฯ นี้ เพื่อให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามมาตรการดังกล่าวและบริษัทฯจะกำหนดแนวปฏิบัติเพื่อให้พนักงานปฏิบัติตามอย่างเคร่งครัด และกระบวนการตรวจสอบการปฏิบัติตามมาตรการดังกล่าว ทั้งนี้ เพื่อให้ท่านมีความมั่นใจว่าข้อมูลจะไม่สูญหาย ถูกทำลายโดยไม่ตั้งใจ ถูกเปิดเผย และนำไปใช้ผิดวัตถุประสงค์ หรือสามารถเข้าถึงได้โดยบุคคลที่ไม่ได้รับอนุญาตหรือไม่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลของท่าน  

8. การติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

         บริษัทฯ ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และจัดให้มีคณะกรรมการ PDPA เพื่อสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามหน้าที่ของบริษัทฯ ตามพ.ร.บ.ฯ

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

อีเมล  :  dpo@wealthcertified.co.th

โทรศัพท์ : 02-026-6875 ต่อ 9901

ที่อยู่: 287 อาคารลิเบอร์ตี้สแควร์ ชั้นที่ 22 ห้องเลขที่ 2201 ถนนสีลม แขวงสีลม เขตบางรัก กรุงเทพฯ 10500

         ทั้งนี้ คณะกรรมการ PDPA จะช่วยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในการตรวจสอบการดำเนินการของบริษัทฯ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องกับ พ.ร.บ.ฯ และทำหน้าที่รับผิดชอบในการพิจารณาคําร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลก่อนดำเนินการตามคําร้องขอ พร้อมการแจ้งผลการปฏิบัติตามคําขอใช้สิทธิให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า รวมถึงต้องจัดให้มีการบันทึกการจัดการข้อมูลส่วนบุคคล กรณีที่มีการปฏิเสธคําร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เพื่อใช้เป็นหลักฐานเมื่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคลร้องขอ

         เจ้าของข้อมูลส่วนบุคคล สามารถติดต่อผู้ควบคุมข้อมูลส่วนบุคคล และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามช่องทางการติดต่อข้างต้น

การปรับปรุงนโยบาย

บริษัทจะทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคลให้เป็นปัจจุบันเป็นประจำทุกปีเพื่อให้สอดคล้องกับแนวปฏิบัติ และ กฎหมาย ข้อบังคับที่เกี่ยวข้องเมื่อมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลแก้ไขเปลี่ยนแปลง หรือมีประกาศที่เกี่ยวข้องกับกฎหมายคุ้มครองส่วนบุคคลใช้บังคับกับบริษัท

บริษัทขอสงวนสิทธิ์ในการปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ โดยจะแจ้งให้ทราบผ่านช่องทางที่เหมาะสม

นโยบายนี้ปรับปรุงล่าสุดเมื่อวันที่  26 มิถุนายน 2568  โดยได้รับอนุมัติจาก คณะกรรมการบริษัทเมื่อวันที่  27  มิถุนายน 2568 มีผลบังคับใช้นับตั้งแต่วันที่ประกาศใช้วันที่ 01 กรกฎาคม 2568 เป็นต้นไป

นโยบายคุ้มครองข้อมูลส่วนบุคคล

บริษัทหลักทรัพย์นายหน้าซื้อขายหน่วยลงทุน เวลธ์ เซอร์ติฟายด์ จำกัด (“บริษัท”) จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (“นโยบายฯ”) สำหรับบุคคลหรือนิติบุคคลที่มีความสัมพันธ์หรือดำเนินกิจกรรมกับบริษัท โดยบริษัทจะนำข้อมูลส่วนบุคคลตามความยินยอมของท่านไปใช้กับวัตถุประสงค์ตามนโยบายฯ ทั้งนี้ สาระสำคัญของนโยบายฯ เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึง กฎหมายที่เกี่ยวข้องหรือกฎหมายที่ออกตามใจความของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

คำจำกัดความ

First header Second header
ข้อมูลส่วนบุคคล
(Personal Data) 		ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ข้อมูลส่วนบุคคลที่อ่อนไหว
(Sensitive Information) 		ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้และมีความละเอียดอ่อน ได้แก่ ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่กฎหมายประกาศกำหนด
ผู้ควบคุมข้อมูลส่วนบุคคล
(Data Controller) 		บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งในที่นี้หมายถึง บริษัทหลักทรัพย์ที่ปรึกษาการลงทุน เวลธ์ เซอร์ติฟายด์ จำกัด
ผู้ประมวลผลข้อมูลส่วนบุคคล
(Data Processor) 		บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
การประมวลผลข้อมูลส่วนบุคคล การดำเนินการหรือชุดการดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย

ประเภทบุคคลที่อยู่ภายใต้นโยบาย

ประเภทบุคคลที่อยู่ภายใต้นโยบาย รายละเอียดและตัวอย่าง
1. ลูกค้าบุคคลธรรมดาของบริษัท ("ลูกค้าบุคคลธรรมดา") ลูกค้าบุคคลธรรมดาของบริษัท เช่น - ผู้ซึ่งใช้หรือเคยใช้ผลิตภัณฑ์ และ/หรือ บริการ - ผู้ติดต่อสอบถามข้อมูลผลิตภัณฑ์ และ/หรือ บริการ - ผู้ที่รับทราบข้อมูลผลิตภัณฑ์ และ/หรือ บริการผ่านช่องทางต่างๆ - ผู้ที่ได้รับการเสนอหรือชักชวนจากบริษัทให้ใช้หรือรับผลิตภัณฑ์ และ/หรือ บริการ
2. บุคคลธรรมดาที่มีความเกี่ยวข้องกับลูกค้านิติบุคคลของบริษัท หรือนิติบุคคลที่มีการทำธุรกรรมกับบริษัท ("บุคลากรของนิติบุคคล") บุคคลธรรมดาที่มีความเกี่ยวข้องกับลูกค้านิติบุคคลของบริษัท หรือนิติบุคคลที่มีการทำธุรกรรมกับบริษัท เช่น - ผู้ถือหุ้น - กรรมการ - ผู้มีอำนาจกระทำการแทน - หุ้นส่วนตัวแทน - พนักงาน เจ้าหน้าที่ และ/หรือ ผู้ที่ได้รับมอบหมาย
3. บุคคลธรรมดาที่มีความเกี่ยวข้องกับการทำธุรกรรมของบริษัทหรือลูกค้าของบริษัท บุคคลธรรมดาที่เกี่ยวข้องกับการทำธุรกรรมของบริษัทหรือลูกค้าของบริษัท เช่น - ผู้ติดต่อ - ลูกจ้าง พนักงาน เจ้าหน้าที่ บุคลากร - บุคคลในครอบครัว เพื่อน เพื่อนบ้าน - บุคคลที่ลูกค้าของบริษัทแนะนำหรืออ้างอิง - ผู้ลงทุน - คู่ค้า เจ้าหนี้ ลูกหนี้ ผู้ให้เช่า ผู้เช่า - บุคคลที่ได้ชำระเงินให้แก่หรือรับเงินจากลูกค้าของบริษัท - บุคคลอื่นใดที่บริษัทอาจได้รับข้อมูลส่วนบุคคลจากการทำธุรกรรมของลูกค้า - บุคคลที่ได้เข้าชมเว็บไซต์หรือแอปพลิเคชันหรือบัญชีสื่อสังคมออนไลน์ของบริษัท หรือเข้าใช้บริการที่สาขาหรือสำนักงานใหญ่ของบริษัท - ที่ปรึกษาด้านวิชาชีพ - บุคคลธรรมดาอื่นในทำนองเดียวกัน
4. บุคคลธรรมดาทั่วไป บุคคลธรรมดาทั่วไป เช่น - บุคคลที่บริษัทมีความสัมพันธ์ ปฏิสัมพันธ์ ติดต่อกันโดยประการอื่น หรือให้ข้อมูลส่วนบุคคลกับบริษัท หรือที่บริษัทได้รับข้อมูลส่วนบุคคลมาทั้งทางตรงและทางอ้อมไม่ว่าผ่านช่องทางใด

การเก็บรวบรวมข้อมูลส่วนบุคคล

บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลตามความจำเป็นและถูกต้องตามกฎหมาย เพื่อวัตถุประสงค์ในการดำเนินงานตามหน้าที่ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล ข้อมูลการเงิน และข้อมูลอื่นๆ ที่เกี่ยวข้อง โดยจะขอความยินยอมจากเจ้าของข้อมูลก่อนเสมอ โดยจำแนกดังนี้

ข้อมูลส่วนตัว เช่น ชื่อ-นามสกุล และ/หรือชื่อเล่น อายุ เพศ เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรต่างด้าว เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี รูปภาพใบหน้า ลายนิ้วมือ ลายมือชื่อ ข้อมูลอัตลักษณ์เสียง ข้อมูลพันธุกรรม วันเกิดและสถานที่เกิด สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่

ข้อมูลเพื่อใช้ในการติดต่อ เช่น ที่อยู่ตามบัตรประชาชน ที่อยู่ตามทะเบียนบ้าน ที่อยู่สถานที่ทำงาน อีเมล หมายเลขโทรศัพท์
ข้อมูลทางการเงิน เช่น ข้อมูลรายได้ เงินเดือน ค่าตอบแทน มูลค่าทรัพย์สิน เลขบัญชีธนาคาร เลขบัตรเครดิต สัดส่วนการถือหุ้น เลขที่เช็ค
ข้อมูลด้านอาชีพและคุณสมบัติ เช่น การศึกษา อาชีพ ตำแหน่ง ประสบการณ์การทำงาน รายละเอียดการทำงาน ใบคุณวุฒิ ใบประกาศนียบัตร ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
ข้อมูลการทำธุรกรรม เช่น ข้อมูลคำสั่งซื้อ-ขายหน่วย/หน่วยลงทุน/หุ้น จำนวนหน่วย/หน่วยลงทุน/หุ้น มูลค่าหน่วย/หน่วยลงทุน/หุ้น วันที่ชำระเงินค่าหน่วยลงทุน วันที่รับเงินค่าขายหน่วยลงทุน เลขที่บัญชีซื้อขายหน่วยลงทุน รหัสลูกค้า
ข้อมูลเทคโนโลยีสารสนเทศ เช่น ข้อมูลอุปกรณ์คอมพิวเตอร์หรือเครื่องมือสื่อสาร เช่น IP address, MAC address, Cookie ID, web browser, web page เว็บไซต์ที่อ้างถึงเว็บของบริษัท ข้อมูลการเชื่อมต่อผ่านช่องทางการเชื่อมต่อของเว็บไซต์

ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Data)

บริษัทอาจเก็บรวบรวมและใช้ ข้อมูลส่วนบุคคลที่อ่อนไหวของท่าน โดยจะขอความยินยอมจากท่านก่อนเก็บรวบรวมและใช้ ข้อมูลส่วนบุคคลที่อ่อนไหวที่บริษัทอาจเก็บรวบรวมและใช้ ได้แก่
(1) ศาสนา หมู่เลือด หรือข้อมูลสุขภาพของท่าน เป็นต้น เพื่อวัตถุประสงค์ในการเสนอสิทธิประโยชน์แก่ท่านได้อย่างเหมาะสม
(2) ประวัติอาชญากรรม เพื่อวัตถุประสงค์ในการคัดกรองบุคลากรเข้าทำงาน หรือบุคคลภายนอกที่ให้บริการเฉพาะด้านแก่บริษัท เช่น ผู้พัฒนาระบบ บริษัทผู้ติดตั้งและวางระบบเทคโนโลยีสารสนเทศ เป็นต้น รวมถึงแต่ไม่จำกัด การจัดระดับความเสี่ยงในการสร้างความสัมพันธ์ และ/หรือทำธุรกรรมกับบริษัท

การใช้ข้อมูลส่วนบุคคล

บริษัทจะใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งไว้และตามที่กฎหมายกำหนด โดยจะใช้ข้อมูลเฉพาะที่จำเป็นและไม่เกินขอบเขตของวัตถุประสงค์ที่กำหนด

  1. เพื่อใช้ในการพิจารณาการเปิดบัญชีกับบริษัทฯ และบริษัทหลักทรัพย์หรือบริษัทหลักทรัพย์จัดการกองทุนรวม ภายใต้คำแนะนำของบริษัท รวมถึง การซื้อ ขาย โอน หรือสับเปลี่ยนหน่วยลงทุนหรือหลักทรัพย์ภายใต้การให้คำแนะนำการลงทุนของบริษัท

  2. เพื่อใช้ในการวิเคราะห์การลงทุนให้เหมาะสมกับเจ้าของข้อมูลส่วนบุคคล
  3. เพื่อประโยชน์ในการให้คำแนะนำหรือคำปรึกษาเกี่ยวกับการลงทุนให้เหมาะสมกับเจ้าของข้อมูลส่วนบุคคล
  4. เพื่อใช้ในทางการตลาด การโฆษณา การส่งเสริม หรือสนับสนุนการขาย
  5. เพื่อประโยชน์ในการสมัครงานกับบริษัท หรือเป็นข้อมูลเพื่อพิจารณาถึงความเหมาะสมในตำแหน่งงานหรือหน้าที่ความรับผิดชอบภายใต้การจ้างงานของบริษัท
  6. เพื่อเก็บรวมรวม ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคลไปยังผู้ประมวลผลข้อมูลส่วนบุคคล
  7. เพื่อประโยชน์ในการตรวจสอบข้อมูล และนำส่งข้อมูลให้หน่วยงานที่มีอำนาจตามกฎหมาย

การประมวลผลข้อมูลส่วนบุคคลของบุคคลที่ยังไม่บรรลุนิติภาวะ หรือบุคคลผู้มีความบกพร่องในร่างกาย

บริษัทจะประมวลผลข้อมูลส่วนบุคคลของบุคคลที่ยังไม่บรรลุนิติภาวะ เช่น บุคคลที่มีอายุไม่ถึง 20 ปีบริบูรณ์ เป็นต้น ซึ่งจะสามารถประมวลผลได้ก็ต่อเมื่อได้รับความยินยอมจากผู้แทนโดยชอบธรรมได้แก่ บิดาโดยชอบด้วยฎหมาย หรือมารดาของผู้เยาว์ หรือผู้ปกครองตามกฎหมายของผู้เยาว์ เป็นต้น

สำหรับบุคคลผู้มีความบกพร่องทางการได้ยินหรือการมองเห็น หรือมีภาวะบกพร่องทางสุขภาพ หากบุคคลนั้นมีผู้พิทักษ์ตามกฎหมาย บริษัทจะขอความยินยอมจากผู้พิทักษ์ด้วยเช่นกัน

การเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก ยกเว้นได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นการเปิดเผยตามที่กฎหมายกำหนดหรืออนุญาต แก่บุคคลภายนอกได้แก่

บริษัทหลักทรัพย์ผู้ให้บริการซื้อขายหน่วยลงทุนหรือหลักทรัพย์ และบริษัทหลักทรัพย์จัดการกองทุนรวมภายใต้คำแนะนำของบริษัท

หน่วยงานกำกับดูแลหรือหน่วยงานที่มีอำนาจตามกฎหมาย ได้แก่

  • สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์
  • สำนักงานป้องกันและปราบปรามการฟอกเงิน
  • กระทรวงการคลัง
  • หน่วยงานกำกับดูแลที่เกี่ยวข้องกับตลาดทุนหรือตลาดเงิน

การประมวลผลอื่นๆ

  • การเปิดเผยข้อมูลส่วนบุคคลของท่านให้กับบุคคลอื่น จะดำเนินการภายใต้วัตถุประสงค์ที่กำหนด หรือวัตถุประสงค์อื่นที่กฎหมายกำหนดให้กระทำได้เท่านั้น ในกรณีที่กฎหมายกำหนดว่าต้องได้รับความยินยอมจากท่าน บริษัทจะขอความยินยอมโดยชัดแจ้งจากท่านก่อน

การคุ้มครองข้อมูลส่วนบุคคล

บริษัทมีมาตรการที่เหมาะสมเพื่อป้องกันการเข้าถึง การใช้ การแก้ไข และการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต เช่น การใช้เทคโนโลยีในการรักษาความปลอดภัย และการจัดฝึกอบรมให้กับพนักงาน รวมถึงจัดเก็บข้อมูลส่วนบุคคลโดยเก็บในรูปแบบเอกสารหลักฐานที่เป็นกระดาษ (hard copy) และในรูปแบบไฟล์อิเล็กทรอนิกส์ (soft file) ไว้ในสถานที่ที่ปลอดภัยและมีการควบคุมสิทธิการเข้าถึงข้อมูล และจัดเก็บข้อมูลส่วนบุคคลไว้ตลอดระยะเวลาที่ท่านได้ให้ความยินยอม จนกว่าจะมีการเพิกถอนความยินยอม เว้นแต่ การจัดเก็บข้อมูลส่วนบุคคลนั้นจะต้องจัดเก็บตามระยะเวลาที่กฎหมายเฉพาะได้กำหนดไว้

การเก็บรักษาข้อมูลส่วนบุคคล

บริษัทจัดเก็บข้อมูลส่วนบุคคลของท่านโดยเก็บในรูปแบบเอกสารหลักฐานที่เป็นกระดาษ (hard copy) และในรูปแบบไฟล์อิเล็กทรอนิกส์ (soft file) ไว้ในสถานที่ที่ปลอดภัยและมีการควบคุมสิทธิการเข้าถึงข้อมูล และจัดเก็บข้อมูลส่วนบุคคลไว้ตลอดระยะเวลาที่ท่านได้ให้ความยินยอม จนกว่าจะมีการเพิกถอนความยินยอม เว้นแต่ การจัดเก็บข้อมูลส่วนบุคคลนั้นจะต้องจัดเก็บตามระยะเวลาที่กฎหมายเฉพาะได้กำหนดไว้

สิทธิของเจ้าของข้อมูล

เจ้าของข้อมูลมีสิทธิในการเข้าถึง แก้ไข ลบข้อมูล และระงับการใช้ข้อมูลส่วนบุคคล รวมถึงสิทธิในการยกเลิกความยินยอมเมื่อใดก็ได้ โดยสามารถติดต่อบริษัทตามช่องทางที่กำหนด โดยสามารถดำเนินการดังนี้

  1. สิทธิในการเพิกถอนความยินยอม (right to withdraw consent) ท่านมีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมกับบริษัทได้ตลอดระยะเวลาที่ได้ให้ไว้กับบริษัท
  2. สิทธิในการได้รับแจ้งข้อมูลส่วนบุคคล (right to be informed) ท่านมีสิทธิในการได้รับแจ้งถึงข้อมูลส่วนบุคคลที่บริษัท จะทำการประมวลผล
  3. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of access) ท่านมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของท่านและขอรับสำเนาข้อมูลส่วนบุคคลของท่าน หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ท่านไม่ได้ให้ความยินยอม
  4. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification) ท่านมีสิทธิในการขอให้บริษัทแก้ไขข้อมูลที่ไม่ถูกต้อง หรือ เพิ่มเติมข้อมูลที่ไม่สมบูรณ์
  5. สิทธิในการลบข้อมูลส่วนบุคคล (right to erasure) ท่านมีสิทธิในการขอให้บริษัททำการลบข้อมูลของท่านด้วยเหตุบางประการได้
  6. สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing) ท่านมีสิทธิในการระงับการใช้ข้อมูลส่วนบุคคลของท่านด้วยเหตุบางประการได้
  7. สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability) ท่านมีสิทธิในการโอนย้ายข้อมูลส่วนบุคคลของท่านที่ท่านให้ไว้กับบริษัทไปยังผู้ควบคุมข้อมูลรายอื่น หรือ ตัวท่านเองด้วยเหตุบางประการได้
  8. สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object) ท่านมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของท่านได้ด้วยเหตุบางประการ
  9. สิทธิในการไม่ตกอยู่ภายใต้การตัดสินใจอัตโนมัติเพียงอย่างเดียว (right not to be subject to automated individual decision-making, including profiling)

การจัดการข้อร้องเรียน

หากเจ้าของข้อมูลมีข้อร้องเรียนเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล บริษัทจะดำเนินการตรวจสอบและแก้ไขข้อร้องเรียนโดยเร็วที่สุด โดยเจ้าของข้อมูลสามารถติดต่อบริษัทผ่านช่องทางต่อไปนี้:

  • โทรศัพท์: 02-026-6875 ต่อ 9901
  • อีเมล: compliance@wealthcertified.co.th
  • ที่อยู่: 287 อาคารลิเบอร์ตี้สแควร์ ชั้นที่ 22 ห้องเลขที่ 2201 ถนนสีลม แขวงสีลม เขตบางรัก กรุงเทพฯ 10500

การปรับปรุงนโยบาย

บริษัทจะทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคลให้เป็นปัจจุบันเป็นประจำทุกปีเพื่อให้สอดคล้องกับแนวปฏิบัติ และ กฎหมาย ข้อบังคับที่เกี่ยวข้องเมื่อมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลแก้ไขเปลี่ยนแปลง หรือมีประกาศที่เกี่ยวข้องกับกฎหมายคุ้มครองส่วนบุคคลใช้บังคับกับบริษัท

บริษัทขอสงวนสิทธิ์ในการปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ โดยจะแจ้งให้ทราบผ่านช่องทางที่เหมาะสม

ช่องทางการติดต่อ

หากมีข้อสงสัยเกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคล สามารถติดต่อได้ที่:

  • โทรศัพท์: 02-026-6875 ต่อ 9901
  • อีเมล: dpo@wealthcertified.co.th
  • ที่อยู่: 287 อาคารลิเบอร์ตี้สแควร์ ชั้นที่ 22 ห้องเลขที่ 2201 ถนนสีลม แขวงสีลม เขตบางรัก กรุงเทพฯ 10500

แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Practices)

หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล

  1. 1. จัดทำในการแจ้งรายละเอียดเกี่ยวกับการเก็บ รวบรวมใช้ และเปิดเผยข้อมูลส่วนบุคคล เช่น ประกาศเตือน (Privacy Notice) ต่างๆ เช่น การเตือนเรื่องกล้องวงจรปิด การประกาศคุ้มครองข้อมูลในด้านทรัพยากรบุคคล
  2. 2. จัดทำมาตรการการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล ตามมาตรฐานของนโยบายความมั่นคงปลอดภัย ซึ่งประกอบด้วย การเสริมสร้างความตระหนักรู้เกี่ยวกับความสำคัญของข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย (privacy and security awareness) การควบคุมการเข้าถึงและใช้งาน (access control) และ การกำหนดสิทธิเข้าถึงและใช้งาน (authorization) อย่างเหมาะสม

2.1 ระบุความเสี่ยงสำคัญที่อาจจะเกิดขึ้นพิจารณา 3 ด้าน ลักษณะ ประเภทข้อมูลส่วนบุคคล (มีข้อมูลอ่อนไหวหรือไม่)  จำนวนข้อมูล และ ผลกระทบที่อาจจะเกิดขึ้น หากข้อมูลรั่วไหล

2.2 ทำ Access Control, การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน และการจัดให้มีวิธีการเพื่อให้ตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง

2.3 ทบทวนมาตรการรักษาความมั่นคงปลอดภัย 3 ส่วนคือ บุคลากร กระบวนการ และ เทคโนโลยี

  1. 3. การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล

3.1 กำหนดระดับความเสี่ยง 3 ระดับ คือ ไม่เสี่ยง เสี่ยงน้อย เสี่ยงสูง

3.2 กำหนดแนวทางป้องกันความเสียหาย ผลกระทบที่อาจเกิดขึ้นในปัจจุบัน และอนาคต รวมถึงหาแนวทางการบรรเทาผลกระทบ

3.3 เมื่อทราบและประเมินความเสี่ยงแล้วว่ามีการละเมิด หรือข้อมูลรั่วไหล ต้องแจ้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)ภายใน 72 ชั่วโมง กรณีเสี่ยงสูงต้องแจ้งเจ้าของข้อมูลด้วย

  1. 4. การจัดทำบันทึกรายการ (Record of Processing Activity : RoPA) ตามที่กฎหมายกำหนด เพื่อให้เจ้าของข้อมูลและสำนักงานสามารถตรวจสอบได้ ซึ่งวิธีการจัดทำบันทึกจะเป็นเอกสารกระดาษหรือระบบอิเล็กทรอนิกส์

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้องค์กรมีหน้าที่ตามมาตรา 39

ในการจัดให้มีบันทึกรายการกิจกรรมอย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้

(1) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ซึ่งได้แก่คำอธิบายเกี่ยวกับประเภทของบุคคล (categories of individual) หรือประเภทของข้อมูลส่วนบุคคล (categories of personal data) ที่องค์กรทำการประมวลผล

(2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท

(3) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ได้แก่ ชื่อ และรายละเอียดการติดต่อขององค์กรรวมถึงเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

(4) ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

(5) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น

(6) การใช้หรือเปิดเผยตามมาตรา 27 วรรคสาม กล่าวคือ หากองค์กรใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26 องค์กรต้องบันทึกการใช้หรือเปิดเผยนั้นไว้ในรายการตามมาตรา 39 ด้วย ซึ่งในทางปฏิบัติหมายความถึง

            (1) ให้ระบุฐานทางกฎหมายในการประมวลผล

(2) ให้ระบุการเปิดเผยข้อมูลส่วนบุคคลไปยังบุคคลภายนอก และ

(3) ให้ระบุการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

(7) การบันทึกรายละเอียดการปฏิเสธคำขอหรือการคัดค้านการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา 30 วรรคสาม (สิทธิในการเข้าถึง) มาตรา 31 วรรคสาม (สิทธิในการขอให้โอนข้อมูล) มาตรา 32 วรรคสาม (สิทธิในการคัดค้านการประมวลผล) และมาตรา 36 วรรคหนึ่ง (สิทธิในการขอแก้ไขข้อมูลให้ถูกต้อง) ตามเงื่อนไขที่กฎหมายกำหนด

(8) คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37 (1) โดยในการจัดทำบันทึกรายการกิจกรรมฯ หรือ Record of Processing Activities (ROPA)  องค์กรอาจจัดเตรียมบันทึกรายการกิจกรรมฯ โดยพิจารณาดังนี้

(1) องค์กรที่มีหน้าที่ต้องจัดให้มีการบันทึกรายการกิจกรรมฯ ต้องสอบทานในส่วนของวัตถุประสงค์การประมวลผล การเปิดเผยข้อมูลส่วนบุคคล และระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

(2) องค์กรต้องสามารถให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตรวจสอบบันทึกรายการกิจกรรมฯ ได้

(3) บันทึกรายการกิจกรรมฯ ช่วยให้องค์กรสามารถปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเด็นอื่นๆ ได้ดียิ่งขึ้น และช่วยสร้างธรรมาภิบาลของข้อมูล

(4) ทั้งผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ในการจัดทำเอกสารบันทึกรายการกิจกรรมฯ

(5) การทำผังวงจรชีวิตของข้อมูลจะช่วยตรวจสอบกิจกรรมการประมวลผลข้อมูลส่วนบุคคลในองค์กรให้ถูกต้องเป็นปัจจุบัน

(6) บันทึกรายการกิจกรรมฯ ต้องมีความถูกต้องเป็นปัจจุบันและสะท้อนการประมวลผลข้อมูลส่วนบุคคลในองค์กร ดังนั้น เมื่อมีความเปลี่ยนแปลงเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่มีผลกระทบต่อความถูกต้องสมบูรณ์ของบันทึกรายการกิจกรรมอาทิ มีการโอนข้อมูลเพิ่มเติมไปยังองค์กรอื่น ๆ ทั้งในและต่างประเทศ หรือมีการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล จึงต้องมีการแก้ไขบันทึกรายการกิจกรรมฯ ด้วยเป็นต้น

ในส่วนข้อแนะนำในการจัดทำบันทึกรายการกิจกรรมฯ มีข้อแนะนำเพิ่มเติมตามแนวปฏิบัติที่ดีของUK ICO ซึ่งเป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของอังกฤษ ดังนี้

1) ในการทำบันทึกกิจกรรมฯ องค์กรควรดำเนินการ ดังนี้

1.1) ทบทวนการประมวลผลขององค์กรว่ามีการเก็บรวบรวมข้อมูลส่วนบุคคลประเภทใดบ้าง

1.2) มีการสอบทานข้อเท็จจริงกับบุคคลต่าง ๆ ในองค์กรเพื่อให้ได้ข้อมูลที่ถูกต้องเกี่ยวกับกิจกรรมการประมวลผล

1.3) ได้ทำการทบทวนนโยบาย แนวทางปฏิบัติ สัญญาหรือข้อตกลงซึ่งเกี่ยวข้องกับระยะเวลาการจัดเก็บข้อมูล มาตรการด้านความมั่นคงปลอดภัย และการเปิดเผยหรือการโอนข้อมูล

2) ในการจัดทำบันทึกรายการกิจกรรมฯ องค์กรได้ทำการเชื่อมโยงข้อมูลดังนี้

2.1) ข้อมูลที่ต้องแจ้งหรือเปิดเผยในประกาศความเป็นส่วนตัว (Privacy Notice)

2.2) บันทึกความยินยอม

2.3) ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล

2.4) แหล่งที่เก็บของข้อมูลส่วนบุคคล

2.5) การประเมินความเสี่ยงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

2.6) บันทึกเหตุการละเมิดข้อมูลส่วนบุคคล

2.7) องค์กรควรจัดทำบันทึกรายการกิจกรรมในรูปแบบอิเล็กทรอนิกส์ ซึ่งสามารถเพิ่มเติมลบออก และแก้ไขข้อมูลได้โดยง่าย

นอกจากนี้ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังอาจกำหนดเงื่อนไขบางประการเพิ่มเติมเกี่ยวกับการจัดทำบันทึกรายการกิจกรรมฯ ได้ดังนี้

(1) กำหนดยกเว้นให้ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กตามหลักเกณฑ์ที่คณะกรรมการฯ กำหนดไม่ต้องจัดทำบันทึกรายการกิจกรรมฯ

(2) กำหนดให้ “ผู้ประมวลผลข้อมูลส่วนบุคคล” มีหน้าที่จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมฯ ตามหลักเกณฑ์และวิธีการที่คณะกรรมการฯ ประกาศกำหนด

ซึ่งในปัจจุบันได้มีประกาศคณะกรรมการฯ ตามข้อ (1) แล้ว ได้แก่ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565 ซึ่งเมื่อพิจารณาคู่มือปฏิบัติงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ แล้วพบว่า ประกาศฉบับดังกล่าวไม่เกี่ยวข้องกับบริษัทฯ เนื่องจากบริษัทฯ ไม่อยู่ในลักษณะของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก ที่กฎหมายกำหนดให้มีการยกเว้นการดำเนินการตามมาตรา 39 วรรคหนึ่ง (1) (2) (3) (4) (5) (6) และ (8) ในเรื่องการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลแต่อย่างใด

บทบาทหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)

บริษัทฯซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคล ต้องทำการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ซึ่งได้รับมอบหมายเพื่อทำหน้าที่ดูแล ให้คำแนะนำ หรือตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลในองค์กร ให้เป็นไปตามกฎหมายที่ได้กำหนดไว้

  1. ให้คำแนะนำ แก่ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล หรือผู้ที่เกี่ยวข้อง ยกตัวอย่างเช่น สร้างความตระหนักรู้ (Awareness) ในเรื่องการจัดการข้อมูลส่วนบุคคลอย่างถูกวิธีให้กับพนักงานในองค์กร เช่น จัดอบรมให้ความรู้ PDPA กับคณะทำงานและพนักงานในการใช้ข้อมูลส่วนบุคคลให้ถูกต้องปลอดภัย ตาม PDPA
  2. ตรวจสอบการดำเนินงาน เกี่ยวกับการเก็บรวบรวม/ใช้/เปิดเผยข้อมูลส่วนบุคคล ของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล หรือผู้ที่เกี่ยวข้อง ตรวจสอบการบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) ให้ถูกต้องครบถ้วน และตรวจสอบการละเมิดนโยบายการจัดการข้อมูลส่วนบุคคลเช่นการนำข้อมูลไปใช้นอกเหนือจากวัตถุประสงค์ที่ระบุในประกาศนโยบายการขอคำยินยอม
  3. ประสานงานและให้ความร่วมมือ กับสำนักงานคุ้มครองข้อมูลส่วนบุคคล (หรือหน่วยงานที่เกี่ยวข้อง) ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น เมื่อเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลจากองค์กร เป็นผู้ประสานงานในการออกจดหมายแจ้งเตือนข้อมูลรั่วไหล ให้กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง
  4. รักษาความลับ ของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่

บทบาทและหน้าที่และแนวทางการปฏิบัติงานของผู้บริหารระดับสูง

คณะกรรมการบริษัทและผู้บริหารระดับสูงมีส่วนร่วมในการวางนโยบายและการปฏิบัติงานของฝ่ายต่างๆดังนี้

  • กำหนดนโยบายและกลยุทธ์การดำเนินงานของบริษัทให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมถึงแต่งตั้ง และตรวจสอบการทำงานของ DPO
  • ควบคุมและตรวจสอบการดำเนินงานของฝ่ายต่างๆ ให้เป็นไปตามนโยบายคุ้มครองข้อมูลส่วนบุคคล
  • สร้างความสัมพันธ์และประสานงานกับหน่วยงานต่างๆที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
  • ตัดสินใจในเรื่องสำคัญที่มีผลกระทบต่อข้อมูลส่วนบุคคลของบริษัท ร่วมกันประเมินความเสี่ยงให้สอดคล้องกับนโยบายคุ้มครองข้อมูลส่วนบุคคล

นโยบายนี้ปรับปรุงล่าสุดเมื่อวันที่ 30 สิงหาคม 2567  โดยได้รับอนุมัติจาก คณะกรรมการบริษัทเมื่อวันที่  30 สิงหาคม 2567   มีผลบังคับใช้นับตั้งแต่วันที่ประกาศใช้วันที่ 2 กันยายน 2567 เป็นต้นไป

Copyright © 2022 Wealth Certified. All Rights Reserved. | Powered by Fresh Digital

You cannot copy content of this page