บริษัท แอ๊บโซลูท คลีน เอ็นเนอร์จี้ จำกัด (มหาชน) และบริษัทย่อย (รวมเรียกว่า “บริษัท”) เคารพสิทธิความเป็นส่วนตัวและให้ความสำคัญต่อการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการทำธุรกรรมกับบริษัท จึงกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก มาตรการกำกับดูแล และการบริหารจัดการข้อมูลส่วนบุคคลอย่างชัดเจน เหมาะสม และเป็นไปตามที่กฎหมายกำหนด ดังต่อไปนี้
1. ขอบเขตการบังคับใช้
นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้มีผลบังคับใช้กับ การปฏิบัติงานของคณะกรรมการ กรรมการ ผู้บริหาร พนักงานทุกคน ซึ่งหมายถึงพนักงานประจำ พนักงานสัญญาจ้างงานแบบระบุระยะเวลาสิ้นสุดสัญญา พนักงานชั่วคราว และผู้รับเหมา ตลอดจนคู่ค้า พันธมิตรทางธุรกิจ ผู้มีส่วนได้เสียของบริษัท รวมถึงผู้ประมวลผลข้อมูลส่วนบุคคลในนามบริษัท เพื่อคุ้มครองข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมจากบุคคล ดังต่อไปนี้ ได้แก่ พนักงาน ผู้สมัครงาน ผู้ที่เคยเป็นพนักงาน บุคคลที่อยู่ในความดูแลหรือมีความสัมพันธ์ทางเครือญาติกับผู้สมัครงาน และ/หรือพนักงานซึ่งผู้สมัคร และ/หรือพนักงานระบุชื่อให้แก่บริษัท ลูกค้า คู่ค้า ผู้ถือหุ้น กรรมการบริษัท บุคคลที่กระทำการแทนบุคคลข้างต้น และบุคคลอื่นใดที่เกี่ยวข้องที่บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลเป็นครั้งคราว โดยช่องทางที่ใช้เก็บรวบรวมข้อมูลส่วนบุคคลรวมถึงแต่ไม่จำกัดเพียงเอกสาร เว็บไซต์ของบริษัท หรือแอพพลิเคชั่นใดๆ สำหรับอุปกรณ์สื่อสารเคลื่อนที่ที่บริษัทจัดให้มีขึ้น และช่องทางของบุคคลภายนอกที่เจ้าของข้อมูลส่วนบุคคลทำการให้ข้อมูลส่วนบุคคลไว้ นโยบายฉบับนี้ไม่ได้ถือเป็นส่วนหนึ่งของสัญญาหรือข้อตกลงฉบับใดๆ เว้นแต่เท่าที่บริษัทจะได้ระบุไว้อย่างชัดเจนว่าให้ถือเป็นส่วนหนึ่งของสัญญาหรือข้อตกลง
2. คำนิยาม
“ข้อมูลส่วนบุคคล” | หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
“ข้อมูลส่วนบุคคลอ่อนไหว” | หมายถึง ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
“การประมวลผล” | หมายถึง การดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผย การลบ หรือการทำลายข้อมูลส่วนบุคคล |
“เจ้าของข้อมูลส่วนบุคคล” | หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม |
“ผู้ควบคุมข้อมูลส่วนบุคคล” | หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล |
“ผู้ประมวลผลข้อมูลส่วนบุคคล” | หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของบริษัท ทั้งนี้ บุคคลหรือนิติบุคคล ซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล |
3. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
บริษัทมีการเก็บรวบรวมข้อมูลส่วนบุคคลหลายประเภท รวมถึงแต่ไม่จำกัดเพียงข้อมูลดังต่อไปนี้
- ข้อมูลที่ใช้ระบุตัวตน (Identity Data) เช่น ชื่อ นามสกุล เลขประจำตัวประชาชน เลขหนังสือเดินทาง วัน เดือน ปีเกิด เพศ อายุ สัญชาติ สถานภาพการสมรส รูปถ่าย
- ข้อมูลติดต่อ (Contact Data) เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล LINE ID Facebook account และข้อมูลอื่นๆ ในลักษณะเดียวกัน
- ข้อมูลทางการเงินหรือข้อมูลการทำธุรกรรม (Transaction Data) เช่น หน้าสมุดบัญชี หมายเลขบัตรเครดิต หมายเลขบัตรกดเงิน ข้อมูลรายได้ ข้อมูลการทำธุรกรรมผ่านผลิตภัณฑ์หรือบริการของบริษัท
- ข้อมูลการติดต่อกับบริษัท (Communication Data) เช่น ข้อมูลการบันทึกภาพหรือเสียงเมื่อมีการติดต่อกับบริษัท
- ข้อมูลอ่อนไหว เช่น ข้อมูลเชื้อชาติ ศาสนาที่ปรากฏบนบัตรประชาชน
- ข้อมูลสารสนเทศต่างๆ เช่น ข้อมูลทางเทคนิคจากการเข้าใช้งานเว็บไซต์หรือแอปพลิเคชันของบริษัท ข้อมูลการใช้งานและการเข้าถึงระบบสารสนเทศ (Log files) เลขที่อยู่ไอพี (IP Address) คุกกี้ (Cookie)
4. แหล่งที่มาของข้อมูลส่วนบุคคล
บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งต่างๆ ได้แก่
4.1 ได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลโดยตรง เช่น
- ขั้นตอนการลงนามในสัญญา การกรอกลงในแบบฟอร์ม การทำแบบสอบถาม การลงทะเบียนต่างๆ หรือขั้นตอนการยื่นข้อเรียกร้องหรือคำร้องขอใช้สิทธิต่างๆ
- การติดต่อบริษัทผ่านทางช่องทางต่างๆ เช่น ทางโทรศัพท์ อีเมล LINE Facebook Messenger เป็นต้น
- ข้อมูลการเข้าร่วมกิจกรรมต่างๆ ของบริษัท เช่น การบันทึกภาพนิ่ง หรือวิดีโอ
- บริษัทอาจมีการจัดเก็บข้อมูลโดยอัตโนมัติ เช่น เมื่อเจ้าของข้อมูลเข้าใช้งานเว็บไซต์หรือแอปพลิเคชันของบริษัท เป็นต้น
4.2 ได้รับข้อมูลส่วนบุคคลจากแหล่งอื่น เช่น ตัวแทนหรือผู้ให้บริการของบริษัท บริษัทย่อย บริษัทในกลุ่ม บริษัทในเครือ หรือพันธมิตรทางธุรกิจของบริษัท หน่วยงานราชการ หรือแหล่งข้อมูลสาธารณะอื่นๆ เช่น เว็บไซต์ของบริษัท ข้อมูลที่ค้นหาได้ทางอินเตอร์เน็ต หรือบนแพลตฟอร์มโซเชียลมีเดียต่างๆ เช่น Facebook เป็นต้น
5. การเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทจะทำการเก็บรวบรวมข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์ ขอบเขต และใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม โดยในการเก็บรวบรวมนั้นจะทำเพียงเท่าที่จำเป็นแก่การดำเนินงานภายใต้วัตถุประสงค์ของบริษัทเท่านั้น ทั้งนี้ บริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน เพื่อให้รับรู้ถึงการเก็บรวบรวมข้อมูลส่วนบุคคลผ่านระบบอิเล็กทรอนิกส์ หรือตามแบบวิธีการของบริษัท เว้นแต่เป็นกรณีที่ต้องปฏิบัติตามที่กฎหมายกำหนด หรือเป็นไปเพื่อประโยชน์ของเจ้าของข้อมูลและการขอความยินยอมไม่อาจกระทำได้ ณ ขณะนั้น หรือเป็นไปเพื่อป้องกันและระงับอันตรายต่อชีวิต ร่างกาย และสุขภาพ หรือเพื่อประโยชน์ต่อการสอบสวนของพนักงานเจ้าหน้าที่ผู้มีอำนาจหรือการพิจารณาคดีของศาล หรือเพื่อประโยชน์แก่สาธารณะเป็นสำคัญ หรือการปฏิบัติตามสัญญา
6. วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
บริษัทจะเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลเพื่อประโยชน์ในการดำเนินงานตามปกติของบริษัท การทำสัญญา หรือธุรกรรมทางการเงิน หรือการทำข้อตกลงหรือสัญญาทางธุรกิจ หรือการติดต่อประสานงาน ซึ่งอาจต้องจัดทำฐานข้อมูลและใช้ข้อมูลเพื่อพัฒนาปรับปรุงการดำเนินงานของบริษัท และเพื่อวัตถุประสงค์อื่นใดที่ไม่ต้องห้ามตามกฎหมาย และ/หรือเพื่อปฏิบัติตามกฎหมายหรือกฎระเบียบที่ใช้บังคับหรือเกี่ยวข้องกับการดำเนินงานของบริษัท ทั้งนี้ บริษัทจะจัดเก็บรักษาและใช้ข้อมูลส่วนบุคคลดังกล่าวไว้ตามระยะเวลาเท่าที่จำเป็นสำหรับวัตถุประสงค์ หรือตามที่กฎหมายกำหนดเท่านั้น หากมีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล บริษัทจะได้แจ้งวัตถุประสงค์ใหม่ให้แก่เจ้าของข้อมูลส่วนบุคคลทราบ
7. การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล
บริษัทจะไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปให้แก่บุคคลใด โดยปราศจากความยินยอม และจะใช้หรือเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้มีการแจ้งไว้ อย่างไรก็ดี เพื่อให้เป็นประโยชน์ต่อการดำเนินงานของบริษัทและการให้บริการแก่เจ้าของข้อมูล บริษัทอาจมีความจำเป็นในการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ให้แก่บริษัทย่อย บริษัทในกลุ่ม บริษัทในเครือ หรือบุคคลอื่นทั้งในและต่างประเทศ เช่น ผู้ให้บริการต่าง ๆ ที่ต้องดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล โดยในการเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลดังกล่าว บริษัทจะดำเนินการให้บุคคลเหล่านั้นเก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับ และไม่นำไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากขอบเขตที่บริษัทได้กำหนดไว้ นอกจากนี้ บริษัทอาจใช้หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ภายใต้หลักเกณฑ์ที่กฎหมายกำหนด เช่น การเปิดเผยข้อมูลต่อหน่วยงานราชการ หน่วยงานภาครัฐ หน่วยงานกำกับดูแล รวมถึงในกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย เช่น การร้องขอข้อมูลเพื่อการฟ้องร้องหรือดำเนินคดีตามกฎหมาย หรือการร้องขอจากหน่วยงานเอกชน หรือบุคคลภายนอกอื่น ๆ ที่มีความเกี่ยวข้องกับกระบวนการทางกฎหมาย
8. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
บริษัทอาจเปิดเผยหรือถ่ายโอนข้อมูลส่วนบุคคลไปยังบริษัทย่อย บริษัทในกลุ่ม บริษัทในเครือ บุคคลที่สาม หรือเซิร์ฟเวอร์ที่อยู่นอกประเทศไทยเพื่อวัตถุประสงค์ที่ชอบด้วยกฎหมาย ทั้งนี้ บริษัทจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและใช้มาตรการที่เหมาะสมเพื่อทำให้มั่นใจได้ว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครองและเจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนได้ตามกฎหมาย รวมถึงบริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลอย่างเหมาะสมและประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้บุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ
9. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็น เพื่อบรรลุวัตถุประสงค์ตามที่ได้แจ้งไว้ในนโยบายฉบับนี้ โดยจะพิจารณาระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลให้มีความเหมาะสม และสอดคล้องกับระยะเวลาตามสัญญา อายุความตามกฎหมาย รวมถึงคำนึงถึงความจำเป็นที่ต้องเก็บข้อมูลส่วนบุคคลต่อไปตามระยะเวลาที่จำเป็น ซึ่งจะเก็บรักษาข้อมูลส่วนบุคคลตลอดระยะเวลาที่เจ้าของข้อมูลส่วนบุคคลมีความสัมพันธ์กับบริษัท และภายในระยะเวลาไม่เกิน 10 ปี นับแต่วันที่เจ้าของข้อมูลส่วนบุคคลยุติความสัมพันธ์กับบริษัท
10. การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
บริษัทจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมและสอดคล้องกับกฎหมาย นโยบาย ระเบียบ ข้อกำหนด และแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลรวมถึงสนับสนุนและส่งเสริมให้พนักงานมีความรู้และตระหนักถึงหน้าที่และความรับผิดชอบในการเก็บรวบรวม การจัดเก็บรักษา การใช้ และการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล เพื่อให้บริษัทสามารถปฏิบัติตามนโยบายและกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้องและมีประสิทธิภาพ
11. สิทธิของเจ้าของข้อมูลส่วนบุคคล
11.1 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังต่อไปนี้
- สิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้ ทั้งนี้ การเพิกถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว
- สิทธิในการเข้าถึงข้อมูลส่วนบุคคลและขอทำสำเนาข้อมูลส่วนบุคคล รวมถึงการขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่ไม่ได้ให้ความยินยอม
- สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
- สิทธิในการลบข้อมูลส่วนบุคคล
- สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล
- สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล
- สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
- สิทธิในการร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
11.2 เจ้าของข้อมูลส่วนบุคคลสามารถขอใช้สิทธิดังกล่าวข้างต้นได้ โดยยื่นคำร้องขอใช้สิทธิต่อบริษัทเป็นลายลักษณ์อักษร ตามที่อยู่ต่อไปนี้ ทั้งนี้ บริษัทอาจปฏิเสธสิทธิของเจ้าของข้อมูลได้ในกรณีที่มีกฎหมายกำหนดไว้
บริษัท แอ๊บโซลูท คลีน เอ็นเนอร์จี้ จำกัด (มหาชน) อาคารไอทีเอฟ-ทาวเวอร์ 140/6 ชั้นที่ 7 ถนนสีลม แขวงสุริยวงศ์ เขตบางรัก กทม. 10500
12. การทบทวนและปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคล
บริษัทจะทบทวน ปรับปรุง แก้ไข และเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ทุกปี เพื่อให้สอดคล้องกับแนวปฏิบัติ ข้อกำหนด ระเบียบ ข้อบังคับ และกฎหมายที่เกี่ยวข้อง ทั้งนี้ หากมีการทบทวน ปรับปรุง แก้ไข และเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้แล้ว บริษัทจะเผยแพร่นโยบายฉบับปรับปรุงลงในเว็บไซต์และช่องทางอื่นๆ ของบริษัทโดยเร็วที่สุด