นโยบายการคุ้มครองข้อมูลส่วนบุคคล สำหรับพนักงาน นักศึกษาฝึกงาน และผู้สมัครเข้าทำงาน
บริษัท ไทยรีประกันชีวิต จำกัด (มหาชน) ตระหนักเป็นอย่างยิ่งถึงความสำคัญของสิทธิในความเป็นส่วนตัว (privacy right) และสิทธิในข้อมูลส่วนบุคคล (personal data right) ซึ่งเป็นสิทธิมนุษยชนขั้นพื้นฐานที่มนุษย์ทุกคนต้องได้รับการคุ้มครองและได้รับการเคารพจากบุคคลอื่น บริษัทฯจึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น เพื่อเป็นแนวทางในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และเพื่อเป็นการคุ้มครองสิทธิในความเป็นส่วนของเจ้าของข้อมูลส่วนบุคคล รวมทั้งเพื่อแจ้งให้ทราบถึงรายละเอียดการเก็บรวบรวม ใช้ หรือเปิดเผยการเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ดังนี้
1. คำนิยาม
1. คำนิยาม
| บริษัทฯ | หมายถึง | บริษัท ไทยรีประกันชีวิต จำกัด (มหาชน) |
| พระราชบัญญัติฯ | หมายถึง | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 |
| ข้อมูลส่วนบุคคล | หมายถึง | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| เจ้าของข้อมูลส่วนบุคคล | หมายถึง | บุคคลธรรมดาที่ยังมีชีวิตอยู่ซึ่งข้อมูลส่วนบุคคลของตนถูกเก็บรวบรวม ใช้ หรือเปิดเผย |
| การประมวลผล | หมายถึง | การดำเนินการต่าง ๆ ที่กระทำต่อข้อมูลส่วนบุคคลอย่างใดอย่างหนึ่ง หรือข้อมูลส่วนบุคคลหลายอย่างประกอบกัน |
2. ข้อมูลส่วนบุคคลที่เก็บรวบรวม
บริษัทฯเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะเป็น พนักงาน นักศึกษาฝึกงาน และผู้สมัครเข้าทำงาน โดยจะเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรงหรือผ่านบริษัทจัดหางาน บริษัทฯ อาจเก็บรวบรวมข้อมูลส่วนบุคคลทั่วไป ดังต่อไปนี้
- ข้อมูลที่ใช้ระบุตัวตน เช่น ชื่อ นามสกุล เลขประจำตัวประชาชน เลขประจำตัวผู้เสียภาษี หมายเลขหนังสือเดินทาง วันเดือนปีเกิด เพศ อายุ สัญชาติ ลายมือชื่อ ข้อมูลเกี่ยวกับการเปลี่ยนชื่อ-สกุล ประวัติการศึกษาหรือฝึกอบรม สถานภาพการสมรส รูปถ่าย
- ข้อมูลติดต่อ เช่น ที่อยู่ หมายเลขโทรศัพท์ e-mail หมายเลขไอพี (internet protocol address) ข้อมูลโซเชียลมีเดีย
- ข้อมูลทางการเงิน เช่น ข้อมูลเงินเดือน ค่าจ้าง รายได้ ภาษีเงินได้ กองทุนสำรองเลี้ยงชีพ บัญชีธนาคาร การกู้ยืมเงิน รายการยกเว้นหรือหักลดหย่อนภาษีเงินได้
- ข้อมูลการเข้าร่วมกิจกรรม เช่น ข้อมูลบันทึกภาพ เสียง หรือวิดีโอ การตอบแบบสำรวจ การตอบแบบประเมิน
- ข้อมูลอื่นๆ เช่น ชื่อ นามสกุลของบิดามารดาและพี่น้อง ข้อมูลเกี่ยวกับความสามารถในการขับขี่ยานพาหนะและใบอนุญาตขับขี่ ข้อมูลเกี่ยวกับภาระทางทหาร ความสามารถพิเศษ การเข้าออกงานและระยะเวลาในการปฏิบัติงาน การทำงานล่วงเวลา การขาดและลางาน ข้อมูลที่เกี่ยวกับการร้องเรียน การสอบสวน การลงโทษทางวินัย รายละเอียดของผู้แนะนำหรือบุคคลอ้างอิง และข้อมูลอื่นที่จำเป็นต่อการปฏิบัติตามสัญญาจ้างแรงงาน
บริษัทฯอาจมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว ดังต่อไปนี้
- ข้อมูลสุขภาพ เช่น น้ำหนัก ส่วนสูง โรคประจำตัว ตาบอดสี ผลการตรวจร่างกาย ข้อมูลการแพ้ยาหรืออาหาร หมู่โลหิต ใบรับรองแพทย์ ประวัติการรักษาพยาบาล ประวัติการจ่ายยา ใบเสร็จค่ารักษาพยาบาล เพื่อการคุ้มครองแรงงานและการจัดให้มีสวัสดิการเกี่ยวกับการรักษาพยาบาล เพื่อประเมินความสามารถในการทำงาน
- ข้อมูลชีวภาพ (biometric) เช่น ข้อมูลจำลองลายนิ้วมือ ข้อมูลภาพจำลองใบหน้า
- ข้อมูลเกี่ยวกับประวัติอาชญากรรม รวมถึงประวัติเกี่ยวกับการฟอกเงินหรือก่อการร้าย
บริษัทฯจะประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวโดยได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล หรือเพื่อวัตถุประสงค์อื่นตามที่กฎหมายกำหนดไว้เท่านั้น ทั้งนี้ บริษัทฯจะใช้ความพยายามอย่างดีที่สุดในการจัดให้มีมาตรการรักษาความปลอดภัยที่เพียงพอเพื่อปกป้องข้อมูลส่วนบุคคลดังกล่าว
ข้อมูลเกี่ยวกับประวัติอาชญากรรม บริษัทฯเก็บรวบรวมจากหลักฐานที่พนักงานนำมาแสดงหรือพนักงานยินยอมให้บริษัทฯตรวจสอบจากหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย โดยบริษัทฯจะจัดให้มีมาตรการคุ้มครองข้อมูลดังกล่าวตามที่กฎหมายกำหนด
3. วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล
บริษัทฯประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางธุรกิจตามาตรฐานวิชาชีพ โดยมีฐานทางกฎหมายในการประมวลผลและการดำเนินการ ดังต่อไปนี้
ข้อมูลเกี่ยวกับประวัติอาชญากรรม บริษัทฯเก็บรวบรวมจากหลักฐานที่พนักงานนำมาแสดงหรือพนักงานยินยอมให้บริษัทฯตรวจสอบจากหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย โดยบริษัทฯจะจัดให้มีมาตรการคุ้มครองข้อมูลดังกล่าวตามที่กฎหมายกำหนด
3. วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล
บริษัทฯประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางธุรกิจตามาตรฐานวิชาชีพ โดยมีฐานทางกฎหมายในการประมวลผลและการดำเนินการ ดังต่อไปนี้
- เพื่อการปฏิบัติตามสัญญา (contract) เช่น จัดทำสัญญาจ้างงาน การปฏิบัติตามสัญญาจ้างงาน การปฏิบัติตามข้อบังคับและระเบียบการบริหารงานบุคคลของบริษัท จรรยาบรรณ การฝึกอบรม การประเมินผลการปฏิบัติงาน การพิจารณาตำแหน่งงานและค่าตอบแทน การบริหารและการดูแลเรื่องสุขภาพและความปลอดภัย
- เพื่อปฏิบัติตามกฎหมาย (legal obligation) การปฏิบัติตามบทบัญญัติของกฎหมาย กฎระเบียบ และคำสั่งของผู้ที่มีอำนาจตามกฎหมาย เช่น กฎหมายคุ้มครองแรงงาน กฎหมายแรงงานสัมพันธ์ กฎหมายประกันสังคม กฎหมายความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน กฎหมายควบคุมโรคติดต่อ เป็นต้น
- เพื่อประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest) เช่น การบริหารจัดการทรัพยากรบุคคล การศึกษาวิเคราะห์และจัดสรรกำลังคน บริหารจัดการการฝึกอบรมและประเมินผลการทำงาน การจัดสวัสดิการรักษาพยาบาลและการประกันภัย กิจกรรมพนักงาน การบริหารด้านการเงินและงบประมาณ การติดต่อภายใน การติดต่อกับบุคคลภายนอก การดำเนินการทางทะเบียน การมอบอำนาจ การจัดทำหนังสือรับรอง การวิเคราะห์และจัดทำฐานข้อมูลเกี่ยวกับประวัติการทำงาน การปรับปรุงสภาพแวดล้อมในการทำงาน การรักษาความมั่นคงปลอดภัยทางสารสนเทศ การสร้างบัญชีผู้ใช้งาน การระบุตัวตนเพื่อเข้าใช้ระบบงาน การเข้าถึงระบบสารสนเทศ การรักษาความปลอดภัย การตรวจสอบและจัดการเกี่ยวกับข้อร้องเรียน การทุจริต หรือข้อพิพาท การก่อตั้ง ใช้ โต้แย้ง หรือดำเนินการตามสิทธิเรียกร้องของบริษัทฯ เป็นต้น
- เพื่อประโยชน์สำคัญต่อชีวิต (vital interest) เช่น การติดต่อในกรณีฉุกเฉิน
- เพื่อประโยชน์สาธารณะ (public task) เช่น การขอข้อมูลสุขภาพหรือประวัติการเจ็บป่วยเพื่อการควบคุมโรค
ในกรณีที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการปฏิบัติตามกฎหมาย การปฏิบัติตามสัญญา หรือเพื่อความจำเป็นในการเข้าทำสัญญา หากเจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลส่วนบุคคลหรือคัดค้านการดำเนินการประมวลผลตามวัตถุประสงค์ของกิจกรรม อาจมีผลทำให้บริษัทฯ ไม่สามารถดำเนินการหรือให้บริการตามที่ร้องขอได้ทั้งหมดหรือบางส่วน
4. การเก็บรักษาข้อมูลส่วนบุคคล และการลบหรือทำลายข้อมูลส่วนบุคคล
บริษัทฯอาจเก็บรักษาข้อมูลส่วนบุคคลไว้นานเท่าที่จำเป็นต้องเก็บเพื่อการดำเนินการให้บรรลุตามวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลตามที่ระบุข้างต้น โดยบริษัทฯจะเก็บรักษาข้อมูลส่วนบุคคลตลอดระยะเวลาที่บริษัทฯมีความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคล หรือไม่เกินระยะเวลา 10 ปี นับแต่วันที่เจ้าของข้อมูลส่วนบุคคลสิ้นสุดความสัมพันธ์กับบริษัทฯ และอาจเก็บต่อไปตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความตามกฎหมาย เพื่อการก่อตั้ง การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย
บริษัทฯอาจเก็บรักษาข้อมูลส่วนบุคคลของสมาชิกครอบครัวหรือผู้อยู่ในความดูแลของพนักงานไว้ตามระยะเวลาที่จำเป็นต่อการประมวลผลเพื่อบรรลุวัตถุประสงค์ในการได้รับสวัสดิการตามระเบียบการบริหารงานบุคคล
ในกรณีที่บริษัทฯประมวลผลข้อมูลส่วนบุคคลของพนักงานโดยขอความยินยอม บริษัทฯจะประมวลผลข้อมูลส่วนบุคคลดังกล่าวจนกว่าพนักงานจะแจ้งขอยกเลิกความยินยอมและดำเนินการตามคำขอของพนักงานเสร็จสิ้นแล้ว ทั้งนี้สำหรับข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น ข้อมูลสุขภาพ ข้อมูลชีวภาพ ประวัติอาชญากรรม บริษัทฯ จะดำเนินการลบหรือทำลายโดยอัตโนมัติเมื่อสิ้นสุดความเป็นพนักงาน เว้นแต่มีความจำเป็นจะต้องประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวบางประเภทเพื่อเพื่อการก่อตั้ง การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย โดยจะเก็บรักษาข้อมูลส่วนบุคคลที่มีความอ่อนไหวดังกล่าวตามระยะเวลาที่กฎหมายกำหนด
บริษัทฯอาจเก็บรักษาข้อมูลส่วนบุคคลของผู้สมัครเข้าทำงานไว้หลังเสร็จสิ้นการพิจารณาความเหมาะสมของตำแหน่งงาน เพื่อใช้ในการพิจารณาและติดต่อในกรณีที่มีตำแหน่งงานอื่นที่เห็นว่าอาจเหมาะสมในระยะเวลาที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ในการสมัครเข้าเป็นพนักงาน หรือเข้าฝึกงาน และหากท่านไม่ประสงค์ให้บริษัทฯ เก็บข้อมูลไว้เพื่อประกอบการพิจารณาตำแหน่งงานอื่น ท่านสามารถติดต่อบริษัทฯได้ตามช่องทางที่ระบุไว้ในนโยบายนี้
บริษัทฯมีการดำเนินการที่เหมาะสมเพื่อทำการลบหรือทำลายเมื่อพ้นระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการประมวลผล หรือดำเนินการทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตน
5. การเปิดเผยข้อมูลส่วนบุคคลให้บุคคลอื่น
พนักงานของบริษัทฯเฉพาะบุคคลที่เกี่ยวข้องในวงจำกัดสามารถเข้าถึงและประมวลผลข้อมูลส่วนบุคคล โดยบริษัทฯมีการตรวจสอบสิทธิการเข้าถึงดังกล่าวอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าข้อมูลถูกใช้เท่าที่จำเป็นตามวัตถุประสงค์ของการประมวลผล ทั้งนี้ ในกรณีที่กฎหมายอนุญาตให้กระทำได้หรือกรณีที่การเปิดเผยมีความจำเป็นเพื่อให้สามารถบรรลุตามวัตถุประสงค์ของการประมวลผล บริษัทฯอาจเปิดเผยข้อมูลส่วนบุคคลนั้นแก่บุคคลต่างๆ ดังต่อไปนี้
4. การเก็บรักษาข้อมูลส่วนบุคคล และการลบหรือทำลายข้อมูลส่วนบุคคล
บริษัทฯอาจเก็บรักษาข้อมูลส่วนบุคคลไว้นานเท่าที่จำเป็นต้องเก็บเพื่อการดำเนินการให้บรรลุตามวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลตามที่ระบุข้างต้น โดยบริษัทฯจะเก็บรักษาข้อมูลส่วนบุคคลตลอดระยะเวลาที่บริษัทฯมีความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคล หรือไม่เกินระยะเวลา 10 ปี นับแต่วันที่เจ้าของข้อมูลส่วนบุคคลสิ้นสุดความสัมพันธ์กับบริษัทฯ และอาจเก็บต่อไปตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความตามกฎหมาย เพื่อการก่อตั้ง การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย
บริษัทฯอาจเก็บรักษาข้อมูลส่วนบุคคลของสมาชิกครอบครัวหรือผู้อยู่ในความดูแลของพนักงานไว้ตามระยะเวลาที่จำเป็นต่อการประมวลผลเพื่อบรรลุวัตถุประสงค์ในการได้รับสวัสดิการตามระเบียบการบริหารงานบุคคล
ในกรณีที่บริษัทฯประมวลผลข้อมูลส่วนบุคคลของพนักงานโดยขอความยินยอม บริษัทฯจะประมวลผลข้อมูลส่วนบุคคลดังกล่าวจนกว่าพนักงานจะแจ้งขอยกเลิกความยินยอมและดำเนินการตามคำขอของพนักงานเสร็จสิ้นแล้ว ทั้งนี้สำหรับข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น ข้อมูลสุขภาพ ข้อมูลชีวภาพ ประวัติอาชญากรรม บริษัทฯ จะดำเนินการลบหรือทำลายโดยอัตโนมัติเมื่อสิ้นสุดความเป็นพนักงาน เว้นแต่มีความจำเป็นจะต้องประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวบางประเภทเพื่อเพื่อการก่อตั้ง การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย โดยจะเก็บรักษาข้อมูลส่วนบุคคลที่มีความอ่อนไหวดังกล่าวตามระยะเวลาที่กฎหมายกำหนด
บริษัทฯอาจเก็บรักษาข้อมูลส่วนบุคคลของผู้สมัครเข้าทำงานไว้หลังเสร็จสิ้นการพิจารณาความเหมาะสมของตำแหน่งงาน เพื่อใช้ในการพิจารณาและติดต่อในกรณีที่มีตำแหน่งงานอื่นที่เห็นว่าอาจเหมาะสมในระยะเวลาที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ในการสมัครเข้าเป็นพนักงาน หรือเข้าฝึกงาน และหากท่านไม่ประสงค์ให้บริษัทฯ เก็บข้อมูลไว้เพื่อประกอบการพิจารณาตำแหน่งงานอื่น ท่านสามารถติดต่อบริษัทฯได้ตามช่องทางที่ระบุไว้ในนโยบายนี้
บริษัทฯมีการดำเนินการที่เหมาะสมเพื่อทำการลบหรือทำลายเมื่อพ้นระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการประมวลผล หรือดำเนินการทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตน
5. การเปิดเผยข้อมูลส่วนบุคคลให้บุคคลอื่น
พนักงานของบริษัทฯเฉพาะบุคคลที่เกี่ยวข้องในวงจำกัดสามารถเข้าถึงและประมวลผลข้อมูลส่วนบุคคล โดยบริษัทฯมีการตรวจสอบสิทธิการเข้าถึงดังกล่าวอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าข้อมูลถูกใช้เท่าที่จำเป็นตามวัตถุประสงค์ของการประมวลผล ทั้งนี้ ในกรณีที่กฎหมายอนุญาตให้กระทำได้หรือกรณีที่การเปิดเผยมีความจำเป็นเพื่อให้สามารถบรรลุตามวัตถุประสงค์ของการประมวลผล บริษัทฯอาจเปิดเผยข้อมูลส่วนบุคคลนั้นแก่บุคคลต่างๆ ดังต่อไปนี้
- หน่วยงานรัฐและหน่วยงานกำกับดูแล เช่น กระทรวงแรงงาน สำนักงานประกันสังคม กระทรวงพาณิชย์ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ตลาดหลักทรัพย์แห่งประเทศไทย สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย กรมสรรพากร ศาล ตำรวจ หรือบุคคลที่เกี่ยวข้องกับการดำเนินคดี
- องค์กรที่เกี่ยวข้องกับการประกันภัย เช่น สมาคมประกันชีวิต สมาคมหรือสมาพันธ์อื่น ๆ ในภาคธุรกิจประกันภัย
- ผู้ให้บริการที่เกี่ยวข้อง เช่น สถาบันการเงิน บริษัทประกันภัย ผู้ให้บริการเกี่ยวกับกระบวนการสรรหาและคัดเลือกบุคคลากร ที่ปรึกษา ผู้ให้บริการทางวิชาชีพ ทนายความ ผู้สอบบัญชี ผู้ให้บริการหรือตัวแทนผู้ให้บริการเกี่ยวกับการจัดการต่าง ๆ การให้บริการประมวลผลข้อมูล บริการเกี่ยวกับกระบวนการทางธุรกิจ บริการเกี่ยวกับการชำระเงิน บริการโทรคมนาคม บริการเทคโนโลยี บริการรับส่งไปรษณีย์หรือพัสดุ
การเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลดังกล่าว บริษัทฯจะกำหนดให้ผู้ที่ได้รับข้อมูลมีมาตรการปกป้องข้อมูลส่วนบุคคลอย่างเหมาะสม ประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นตามขอบเขตและวัตถุประสงค์ที่บริษัทฯกำหนดเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบ
6. การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
บริษัทฯอาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลหรือหน่วยงานในต่างประเทศ รวมทั้งอาจเก็บข้อมูลส่วนบุคคลบนคอมพิวเตอร์เซิร์ฟเวอร์หรือคลาวด์ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคล
ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทฯจะปฏิบัติตามเงื่อนไขที่กำหนดในพระราชบัญญัติฯ รวมทั้งวิธีการหรือมาตรการที่กำหนดในกฎหมายลำดับรอง และใช้มาตรการที่เหมาะสมเพื่อทำให้มั่นใจได้ว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครอง ตลอดจนจะกำหนดให้ผู้ที่ได้รับข้อมูลมีมาตรการปกป้องข้อมูลส่วนบุคคลอย่างเหมาะสมและประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้บุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบ
7. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัทฯตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (data security) บริษัทฯ จึงกำหนดให้มีมาตรการทางเทคนิค (technical measures) มาตรการเชิงบริหารจัดการ (organizational measures) และมาตรการป้องกันทางกายภาพ (physical measures) ในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม โดยสอดคล้องกับหลัก 3 ประการ ได้แก่ การรักษาความลับของข้อมูลส่วนบุคคล (confidentiality) ความถูกต้องครบถ้วน (integrity) และ สภาพพร้อมใช้งาน (availability) ตัวอย่างเช่น มาตรฐานความปลอดภัยของระบบเทคโนโลยีสารสนเทศในการควบคุมการเข้าถึงข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงการอนุญาตเข้าถึงข้อมูลส่วนบุคคล การกำหนดสิทธิ การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน การบริหารจัดการการเข้าถึง การตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง การสร้างความมั่นคงปลอดภัยทางกายภาพ เพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ ดัดแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย
บริษัทฯจัดให้มีการทบทวนมาตรการรักษาความมั่นคงปลอดภัยเป็นประจำ หรือเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
8. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้ดังนี้
6. การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
บริษัทฯอาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลหรือหน่วยงานในต่างประเทศ รวมทั้งอาจเก็บข้อมูลส่วนบุคคลบนคอมพิวเตอร์เซิร์ฟเวอร์หรือคลาวด์ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคล
ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทฯจะปฏิบัติตามเงื่อนไขที่กำหนดในพระราชบัญญัติฯ รวมทั้งวิธีการหรือมาตรการที่กำหนดในกฎหมายลำดับรอง และใช้มาตรการที่เหมาะสมเพื่อทำให้มั่นใจได้ว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครอง ตลอดจนจะกำหนดให้ผู้ที่ได้รับข้อมูลมีมาตรการปกป้องข้อมูลส่วนบุคคลอย่างเหมาะสมและประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้บุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบ
7. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัทฯตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (data security) บริษัทฯ จึงกำหนดให้มีมาตรการทางเทคนิค (technical measures) มาตรการเชิงบริหารจัดการ (organizational measures) และมาตรการป้องกันทางกายภาพ (physical measures) ในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม โดยสอดคล้องกับหลัก 3 ประการ ได้แก่ การรักษาความลับของข้อมูลส่วนบุคคล (confidentiality) ความถูกต้องครบถ้วน (integrity) และ สภาพพร้อมใช้งาน (availability) ตัวอย่างเช่น มาตรฐานความปลอดภัยของระบบเทคโนโลยีสารสนเทศในการควบคุมการเข้าถึงข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงการอนุญาตเข้าถึงข้อมูลส่วนบุคคล การกำหนดสิทธิ การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน การบริหารจัดการการเข้าถึง การตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง การสร้างความมั่นคงปลอดภัยทางกายภาพ เพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ ดัดแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย
บริษัทฯจัดให้มีการทบทวนมาตรการรักษาความมั่นคงปลอดภัยเป็นประจำ หรือเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
8. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้ดังนี้
- สิทธิในการเพิกถอนความยินยอม (right to withdraw consent) เจ้าของข้อมูลส่วนบุคคลมีสิทธิเพิกถอนความยินยอมในการประมวลผลที่ให้ไว้กับบริษัทฯ (ไม่ว่าความยินยอมนั้นจะได้ให้ไว้ก่อนหรือหลังพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับ) เว้นแต่มีข้อจำกัดสิทธิในการเพิกถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล อย่างไรก็ตาม การเพิกถอนความยินยอมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว และการเพิกถอนความยินยอมอาจส่งผลให้บริษัทฯ ไม่สามารถดำเนินการเพื่อบรรลุวัตถุประสงค์บางส่วนหรือทั้งหมดตามที่ระบุไว้ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ได้
- สิทธิในการได้รับแจ้งข้อมูล (right to be informed) เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะได้รับแจ้งข้อมูลต่าง ๆ ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล
- สิทธิในการขอเข้าถึงข้อมูล (right to access) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของบริษัทฯ
- สิทธิในการคัดค้าน (right to object) เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้
- สิทธิในการลบข้อมูล (right to erasure) หรือสิทธิที่จะถูกลืม (right to be forgotten) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทฯดำเนินการลบ ทำลาย ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
- สิทธิในการระงับการประมวลผล (right to restriction of processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทฯระงับการใช้ข้อมูลส่วนบุคคลได้
- สิทธิในการขอแก้ไขข้อมูลให้ถูกต้อง (right to rectification) ในกรณีที่ข้อมูลส่วนบุคคลไม่ถูกต้อง ไม่เป็นปัจจุบัน ไม่สมบูรณ์ หรืออาจก่อให้เกิดความเข้าใจผิด เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอให้บริษัทฯแก้ไขข้อมูลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
- สิทธิในการโอนย้ายข้อมูล (right to data portability) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทฯส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
- สิทธิในการร้องเรียน (right to lodge a complaint) เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่บริษัทฯฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯจะดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคลเมื่อมีการร้องขอตามช่องทางการขอใช้สิทธิ โดยบริษัทฯจะพิจารณาและแจ้งผลการพิจารณาตามคำร้องขอภายใน 30 วันนับแต่วันที่ได้รับคำร้องขอและเอกสารประกอบครบถ้วน ทั้งนี้ บริษัทฯอาจขอสงวนสิทธิไม่ปฏิบัติตามคำร้องขอใช้สิทธิตามความเหมาะสมและเท่าที่กฎหมายจะอนุญาต
9. การทบทวนและเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯอาจทำการปรับปรุงหรือแก้ไขนโยบายนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับข้อกำหนดตามกฎหมาย การเปลี่ยนแปลงการดำเนินงานของบริษัทฯ รวมถึงข้อเสนอแนะและความคิดเห็นจากหน่วยงานต่าง ๆ โดยจะประกาศแจ้งการเปลี่ยนแปลงให้ทราบอย่างชัดเจน
10. การติดต่อบริษัทฯ
ในกรณีที่มีข้อสงสัยเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือต้องการใช้สิทธิในฐานะเจ้าของข้อมูลส่วนบุคคล สามารถติดต่อบริษัทฯ ได้ที่
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
บริษัท ไทยรีประกันชีวิต จำกัด (มหาชน)
48/15 ซอยรัชดาภิเษก 20 ถนนรัชดาภิเษก แขวงสามเสนนอก เขตห้วยขวาง กรุงเทพฯ 10310
โทรศัพท์: 02-666-9000 โทรสาร: 02-277-6227
Email address: pdpa@thairelife.co.th
9. การทบทวนและเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯอาจทำการปรับปรุงหรือแก้ไขนโยบายนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับข้อกำหนดตามกฎหมาย การเปลี่ยนแปลงการดำเนินงานของบริษัทฯ รวมถึงข้อเสนอแนะและความคิดเห็นจากหน่วยงานต่าง ๆ โดยจะประกาศแจ้งการเปลี่ยนแปลงให้ทราบอย่างชัดเจน
10. การติดต่อบริษัทฯ
ในกรณีที่มีข้อสงสัยเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือต้องการใช้สิทธิในฐานะเจ้าของข้อมูลส่วนบุคคล สามารถติดต่อบริษัทฯ ได้ที่
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
บริษัท ไทยรีประกันชีวิต จำกัด (มหาชน)
48/15 ซอยรัชดาภิเษก 20 ถนนรัชดาภิเษก แขวงสามเสนนอก เขตห้วยขวาง กรุงเทพฯ 10310
โทรศัพท์: 02-666-9000 โทรสาร: 02-277-6227
Email address: pdpa@thairelife.co.th