นโยบายคุ้มครองข้อมูลส่วนบุคคล

บริษัท แอ๊บโซลูท คลีน เอ็นเนอร์จี้ จำกัด (มหาชน) และบริษัทย่อย (รวมเรียกว่า “บริษัท”) เคารพสิทธิความเป็นส่วนตัวและให้ความสำคัญต่อการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการทำธุรกรรมกับบริษัท จึงกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก มาตรการกำกับดูแล และการบริหารจัดการข้อมูลส่วนบุคคลอย่างชัดเจน เหมาะสม และเป็นไปตามที่กฎหมายกำหนด ดังต่อไปนี้

1. ขอบเขตการบังคับใช้

นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้มีผลบังคับใช้กับ การปฏิบัติงานของคณะกรรมการ กรรมการ ผู้บริหาร พนักงานทุกคน ซึ่งหมายถึงพนักงานประจำ พนักงานสัญญาจ้างงานแบบระบุระยะเวลาสิ้นสุดสัญญา พนักงานชั่วคราว และผู้รับเหมา ตลอดจนคู่ค้า พันธมิตรทางธุรกิจ ผู้มีส่วนได้เสียของบริษัท รวมถึงผู้ประมวลผลข้อมูลส่วนบุคคลในนามบริษัท เพื่อคุ้มครองข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมจากบุคคล ดังต่อไปนี้ ได้แก่ พนักงาน ผู้สมัครงาน ผู้ที่เคยเป็นพนักงาน บุคคลที่อยู่ในความดูแลหรือมีความสัมพันธ์ทางเครือญาติกับผู้สมัครงาน และ/หรือพนักงานซึ่งผู้สมัคร และ/หรือพนักงานระบุชื่อให้แก่บริษัท ลูกค้า คู่ค้า ผู้ถือหุ้น กรรมการบริษัท บุคคลที่กระทำการแทนบุคคลข้างต้น และบุคคลอื่นใดที่เกี่ยวข้องที่บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลเป็นครั้งคราว โดยช่องทางที่ใช้เก็บรวบรวมข้อมูลส่วนบุคคลรวมถึงแต่ไม่จำกัดเพียงเอกสาร เว็บไซต์ของบริษัท หรือแอพพลิเคชั่นใดๆ สำหรับอุปกรณ์สื่อสารเคลื่อนที่ที่บริษัทจัดให้มีขึ้น และช่องทางของบุคคลภายนอกที่เจ้าของข้อมูลส่วนบุคคลทำการให้ข้อมูลส่วนบุคคลไว้ นโยบายฉบับนี้ไม่ได้ถือเป็นส่วนหนึ่งของสัญญาหรือข้อตกลงฉบับใดๆ เว้นแต่เท่าที่บริษัทจะได้ระบุไว้อย่างชัดเจนว่าให้ถือเป็นส่วนหนึ่งของสัญญาหรือข้อตกลง

2. คำนิยาม
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลอ่อนไหว” หมายถึง ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
“การประมวลผล” หมายถึง การดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผย การลบ หรือการทำลายข้อมูลส่วนบุคคล
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของบริษัท ทั้งนี้ บุคคลหรือนิติบุคคล ซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
3. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม

บริษัทมีการเก็บรวบรวมข้อมูลส่วนบุคคลหลายประเภท รวมถึงแต่ไม่จำกัดเพียงข้อมูลดังต่อไปนี้

  1. ข้อมูลที่ใช้ระบุตัวตน (Identity Data) เช่น ชื่อ นามสกุล เลขประจำตัวประชาชน เลขหนังสือเดินทาง วัน เดือน ปีเกิด เพศ อายุ สัญชาติ สถานภาพการสมรส รูปถ่าย
  2. ข้อมูลติดต่อ (Contact Data) เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล LINE ID Facebook account และข้อมูลอื่นๆ ในลักษณะเดียวกัน
  3. ข้อมูลทางการเงินหรือข้อมูลการทำธุรกรรม (Transaction Data) เช่น หน้าสมุดบัญชี หมายเลขบัตรเครดิต หมายเลขบัตรกดเงิน ข้อมูลรายได้ ข้อมูลการทำธุรกรรมผ่านผลิตภัณฑ์หรือบริการของบริษัท
  4. ข้อมูลการติดต่อกับบริษัท (Communication Data) เช่น ข้อมูลการบันทึกภาพหรือเสียงเมื่อมีการติดต่อกับบริษัท
  5. ข้อมูลอ่อนไหว เช่น ข้อมูลเชื้อชาติ ศาสนาที่ปรากฏบนบัตรประชาชน
  6. ข้อมูลสารสนเทศต่างๆ เช่น ข้อมูลทางเทคนิคจากการเข้าใช้งานเว็บไซต์หรือแอปพลิเคชันของบริษัท ข้อมูลการใช้งานและการเข้าถึงระบบสารสนเทศ (Log files) เลขที่อยู่ไอพี (IP Address) คุกกี้ (Cookie)
4. แหล่งที่มาของข้อมูลส่วนบุคคล

บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งต่างๆ ได้แก่

4.1 ได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลโดยตรง เช่น

  1. ขั้นตอนการลงนามในสัญญา การกรอกลงในแบบฟอร์ม การทำแบบสอบถาม การลงทะเบียนต่างๆ หรือขั้นตอนการยื่นข้อเรียกร้องหรือคำร้องขอใช้สิทธิต่างๆ
  2. การติดต่อบริษัทผ่านทางช่องทางต่างๆ เช่น ทางโทรศัพท์ อีเมล LINE Facebook Messenger เป็นต้น
  3. ข้อมูลการเข้าร่วมกิจกรรมต่างๆ ของบริษัท เช่น การบันทึกภาพนิ่ง หรือวิดีโอ
  4. บริษัทอาจมีการจัดเก็บข้อมูลโดยอัตโนมัติ เช่น เมื่อเจ้าของข้อมูลเข้าใช้งานเว็บไซต์หรือแอปพลิเคชันของบริษัท เป็นต้น

4.2 ได้รับข้อมูลส่วนบุคคลจากแหล่งอื่น เช่น ตัวแทนหรือผู้ให้บริการของบริษัท บริษัทย่อย บริษัทในกลุ่ม บริษัทในเครือ หรือพันธมิตรทางธุรกิจของบริษัท หน่วยงานราชการ หรือแหล่งข้อมูลสาธารณะอื่นๆ เช่น เว็บไซต์ของบริษัท ข้อมูลที่ค้นหาได้ทางอินเตอร์เน็ต หรือบนแพลตฟอร์มโซเชียลมีเดียต่างๆ เช่น Facebook เป็นต้น

5. การเก็บรวบรวมข้อมูลส่วนบุคคล

บริษัทจะทำการเก็บรวบรวมข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์ ขอบเขต และใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม โดยในการเก็บรวบรวมนั้นจะทำเพียงเท่าที่จำเป็นแก่การดำเนินงานภายใต้วัตถุประสงค์ของบริษัทเท่านั้น ทั้งนี้ บริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน เพื่อให้รับรู้ถึงการเก็บรวบรวมข้อมูลส่วนบุคคลผ่านระบบอิเล็กทรอนิกส์ หรือตามแบบวิธีการของบริษัท เว้นแต่เป็นกรณีที่ต้องปฏิบัติตามที่กฎหมายกำหนด หรือเป็นไปเพื่อประโยชน์ของเจ้าของข้อมูลและการขอความยินยอมไม่อาจกระทำได้ ณ ขณะนั้น หรือเป็นไปเพื่อป้องกันและระงับอันตรายต่อชีวิต ร่างกาย และสุขภาพ หรือเพื่อประโยชน์ต่อการสอบสวนของพนักงานเจ้าหน้าที่ผู้มีอำนาจหรือการพิจารณาคดีของศาล หรือเพื่อประโยชน์แก่สาธารณะเป็นสำคัญ หรือการปฏิบัติตามสัญญา

6. วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลเพื่อประโยชน์ในการดำเนินงานตามปกติของบริษัท การทำสัญญา หรือธุรกรรมทางการเงิน หรือการทำข้อตกลงหรือสัญญาทางธุรกิจ หรือการติดต่อประสานงาน ซึ่งอาจต้องจัดทำฐานข้อมูลและใช้ข้อมูลเพื่อพัฒนาปรับปรุงการดำเนินงานของบริษัท และเพื่อวัตถุประสงค์อื่นใดที่ไม่ต้องห้ามตามกฎหมาย และ/หรือเพื่อปฏิบัติตามกฎหมายหรือกฎระเบียบที่ใช้บังคับหรือเกี่ยวข้องกับการดำเนินงานของบริษัท ทั้งนี้ บริษัทจะจัดเก็บรักษาและใช้ข้อมูลส่วนบุคคลดังกล่าวไว้ตามระยะเวลาเท่าที่จำเป็นสำหรับวัตถุประสงค์ หรือตามที่กฎหมายกำหนดเท่านั้น หากมีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล บริษัทจะได้แจ้งวัตถุประสงค์ใหม่ให้แก่เจ้าของข้อมูลส่วนบุคคลทราบ

7. การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปให้แก่บุคคลใด โดยปราศจากความยินยอม และจะใช้หรือเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้มีการแจ้งไว้ อย่างไรก็ดี เพื่อให้เป็นประโยชน์ต่อการดำเนินงานของบริษัทและการให้บริการแก่เจ้าของข้อมูล บริษัทอาจมีความจำเป็นในการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ให้แก่บริษัทย่อย บริษัทในกลุ่ม บริษัทในเครือ หรือบุคคลอื่นทั้งในและต่างประเทศ เช่น ผู้ให้บริการต่าง ๆ ที่ต้องดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล โดยในการเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลดังกล่าว บริษัทจะดำเนินการให้บุคคลเหล่านั้นเก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับ และไม่นำไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากขอบเขตที่บริษัทได้กำหนดไว้ นอกจากนี้ บริษัทอาจใช้หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ภายใต้หลักเกณฑ์ที่กฎหมายกำหนด เช่น การเปิดเผยข้อมูลต่อหน่วยงานราชการ หน่วยงานภาครัฐ หน่วยงานกำกับดูแล รวมถึงในกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย เช่น การร้องขอข้อมูลเพื่อการฟ้องร้องหรือดำเนินคดีตามกฎหมาย หรือการร้องขอจากหน่วยงานเอกชน หรือบุคคลภายนอกอื่น ๆ ที่มีความเกี่ยวข้องกับกระบวนการทางกฎหมาย

8. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

บริษัทอาจเปิดเผยหรือถ่ายโอนข้อมูลส่วนบุคคลไปยังบริษัทย่อย บริษัทในกลุ่ม บริษัทในเครือ บุคคลที่สาม หรือเซิร์ฟเวอร์ที่อยู่นอกประเทศไทยเพื่อวัตถุประสงค์ที่ชอบด้วยกฎหมาย ทั้งนี้ บริษัทจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและใช้มาตรการที่เหมาะสมเพื่อทำให้มั่นใจได้ว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครองและเจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนได้ตามกฎหมาย รวมถึงบริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลอย่างเหมาะสมและประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้บุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ

9. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็น เพื่อบรรลุวัตถุประสงค์ตามที่ได้แจ้งไว้ในนโยบายฉบับนี้ โดยจะพิจารณาระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลให้มีความเหมาะสม และสอดคล้องกับระยะเวลาตามสัญญา อายุความตามกฎหมาย รวมถึงคำนึงถึงความจำเป็นที่ต้องเก็บข้อมูลส่วนบุคคลต่อไปตามระยะเวลาที่จำเป็น ซึ่งจะเก็บรักษาข้อมูลส่วนบุคคลตลอดระยะเวลาที่เจ้าของข้อมูลส่วนบุคคลมีความสัมพันธ์กับบริษัท และภายในระยะเวลาไม่เกิน 10 ปี นับแต่วันที่เจ้าของข้อมูลส่วนบุคคลยุติความสัมพันธ์กับบริษัท

10. การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล

บริษัทจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมและสอดคล้องกับกฎหมาย นโยบาย ระเบียบ ข้อกำหนด และแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลรวมถึงสนับสนุนและส่งเสริมให้พนักงานมีความรู้และตระหนักถึงหน้าที่และความรับผิดชอบในการเก็บรวบรวม การจัดเก็บรักษา การใช้ และการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล เพื่อให้บริษัทสามารถปฏิบัติตามนโยบายและกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้องและมีประสิทธิภาพ

11. สิทธิของเจ้าของข้อมูลส่วนบุคคล

11.1 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังต่อไปนี้

  1. สิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้ ทั้งนี้ การเพิกถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว
  2. สิทธิในการเข้าถึงข้อมูลส่วนบุคคลและขอทำสำเนาข้อมูลส่วนบุคคล รวมถึงการขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่ไม่ได้ให้ความยินยอม
  3. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
  4. สิทธิในการลบข้อมูลส่วนบุคคล
  5. สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล
  6. สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล
  7. สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
  8. สิทธิในการร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

11.2 เจ้าของข้อมูลส่วนบุคคลสามารถขอใช้สิทธิดังกล่าวข้างต้นได้ โดยยื่นคำร้องขอใช้สิทธิต่อบริษัทเป็นลายลักษณ์อักษร ตามที่อยู่ต่อไปนี้ ทั้งนี้ บริษัทอาจปฏิเสธสิทธิของเจ้าของข้อมูลได้ในกรณีที่มีกฎหมายกำหนดไว้

บริษัท แอ๊บโซลูท คลีน เอ็นเนอร์จี้ จำกัด (มหาชน) อาคารไอทีเอฟ-ทาวเวอร์ 140/6 ชั้นที่ 7 ถนนสีลม แขวงสุริยวงศ์ เขตบางรัก กทม. 10500

12. การทบทวนและปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะทบทวน ปรับปรุง แก้ไข และเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ทุกปี เพื่อให้สอดคล้องกับแนวปฏิบัติ ข้อกำหนด ระเบียบ ข้อบังคับ และกฎหมายที่เกี่ยวข้อง ทั้งนี้ หากมีการทบทวน ปรับปรุง แก้ไข และเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้แล้ว บริษัทจะเผยแพร่นโยบายฉบับปรับปรุงลงในเว็บไซต์และช่องทางอื่นๆ ของบริษัทโดยเร็วที่สุด