นโยบายการคุ้มครองข้อมูลส่วนบุคคล สำหรับการประกันภัยต่อ
บริษัท ไทยรีประกันชีวิต จำกัด (มหาชน) ตระหนักเป็นอย่างยิ่งถึงความสำคัญของสิทธิในความเป็นส่วนตัว (privacy right) และสิทธิในข้อมูลส่วนบุคคล (personal data right) ซึ่งเป็นสิทธิมนุษยชนขั้นพื้นฐานที่มนุษย์ทุกคนต้องได้รับการคุ้มครองและได้รับการเคารพจากบุคคลอื่น บริษัทฯจึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น เพื่อเป็นแนวทางในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และเพื่อเป็นการคุ้มครองสิทธิในความเป็นส่วนของเจ้าของข้อมูลส่วนบุคคล รวมทั้งเพื่อแจ้งให้ทราบถึงรายละเอียดการเก็บรวบรวม ใช้ หรือเปิดเผยการเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ดังนี้
1. คำนิยาม
1. คำนิยาม
| บริษัทฯ | หมายถึง | บริษัท ไทยรีประกันชีวิต จำกัด (มหาชน) |
| พระราชบัญญัติฯ | หมายถึง | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 |
| ข้อมูลส่วนบุคคล | หมายถึง | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| เจ้าของข้อมูลส่วนบุคคล | หมายถึง | บุคคลธรรมดาที่ยังมีชีวิตอยู่ซึ่งข้อมูลส่วนบุคคลของตนถูกเก็บรวบรวม ใช้ หรือเปิดเผย |
| การประมวลผล | หมายถึง | การดำเนินการต่าง ๆ ที่กระทำต่อข้อมูลส่วนบุคคลอย่างใดอย่างหนึ่ง หรือข้อมูลส่วนบุคคลหลายอย่างประกอบกัน |
2. ข้อมูลส่วนบุคคลที่เก็บรวบรวม
การประกอบธุรกิจหลักของบริษัทฯ ได้แก่ การรับประกันภัยต่อด้านการประกันชีวิต (life reinsurance) เป็นการประกอบธุรกิจระหว่างผู้ประกอบการด้วยกันเอง (business to business) บริษัทฯไม่ได้ติดต่อกับผู้เอาประกันภัยโดยตรง กล่าวคือเป็นกรณีที่บริษัทประกันชีวิต (insurer) โอนความเสี่ยงภัยที่ตนรับประกันภัยเอาไว้ทั้งหมดหรือแต่บางส่วนมายังบริษัทฯ ซึ่งบริษัทประกันชีวิตในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลที่อยู่ในความครอบครองมายังบริษัทฯ การได้มาซึ่งข้อมูลส่วนบุคคลของบริษัทฯเป็นการได้รับข้อมูลส่วนบุคคลจากการเปิดเผยของบริษัทประกันชีวิตในฐานะคู่สัญญาประกันภัยต่อกับบริษัทฯ ตามมาตรา 27 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
บริษัทฯเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะเป็น ผู้เอาประกันชีวิต ผู้รับประโยชน์ ผู้แทนโดยชอบธรรม บริษัทฯเก็บรวบรวมข้อมูลส่วนบุคคลทั่วไป ดังต่อไปนี้
- ข้อมูลที่ใช้ระบุตัวตน เช่น ชื่อ นามสกุล เลขประจำตัวประชาชน หมายเลขหนังสือเดินทาง วันเดือนปีเกิด เพศ อายุ สัญชาติ ลายมือชื่อ ข้อมูลเกี่ยวกับการเปลี่ยนชื่อ-สกุล อาชีพ การศึกษา สถานภาพการสมรส รูปถ่าย
- ข้อมูลติดต่อ เช่น ที่อยู่ หมายเลขโทรศัพท์ e-mail
- ข้อมูลทางการเงิน เช่น รายได้ แหล่งที่มาของรายได้ บัญชีธนาคาร การเคลื่อนไหวของบัญชีธนาคาร เงินกู้ การลงทุน บัตรเครดิต หรือข้อมูลเกี่ยวกับการชำระเงินอื่นๆ
- ข้อมูลตามสัญญาประกันชีวิต ได้แก่ ข้อมูลการเอาประกันชีวิตที่เจ้าของข้อมูลส่วนบุคคลถือครอง
บริษัทฯอาจมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว ดังต่อไปนี้
- ข้อมูลสุขภาพ หรือความพิการ เช่น ประวัติการรักษาพยาบาล บันทึกการตรวจทางการแพทย์ ประวัติการสั่งจ่ายยา คำถามเกี่ยวกับสุขภาพ และข้อมูลหรือสิ่งใดๆ ที่เกี่ยวข้องกับกรมธรรม์ประกันภัยหรือการเรียกร้องค่าสินไหมทดแทน
- ข้อมูลชีวภาพ เช่น หมู่โลหิต
- ข้อมูลพฤติกรรมทางเพศ
3. วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล
บริษัทฯประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ของสัญญาประกันภัยต่อ ทั้งในการพิจารณารับประกันภัยต่อ (underwriting) และการชดใช้ผลประโยชน์ตามกรมธรรม์ประกันภัยหรือค่าสินไหมทดแทน (benefits and claims)
บริษัทฯประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางธุรกิจตามาตรฐานวิชาชีพ โดยมีฐานทางกฎหมายในการประมวลผลและการดำเนินการ ดังต่อไปนี้
- เพื่อประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest) ข้อมูลส่วนบุคคลทั่วไปที่บริษัทฯได้รับมาจากการเปิดเผยของบริษัทฯประกันชีวิต บริษัทฯสามารถประมวลผลเพื่อให้บริการรับประกันภัยต่อกับบริษัทประกันชีวิต รวมทั้งบริษัทฯอาจประมวลผลข้อมูลเพื่อการบริหารจัดการภายใน การพัฒนาผลิตภัณฑ์หรือบริการ การกำหนดราคา การบริหารความเสี่ยง การวิเคราะห์ข้อมูล การพิจารณาจัดการการจ่ายค่าสินไหมทดแทน การตรวจสอบธุรกิจ การจัดทำแบบสอบถามเพื่อพัฒนาบริการ ทั้งนี้การประมวลผลที่กล่าวข้างต้น ประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯต้องมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
- ความยินยอม (consent) ข้อมูลส่วนบุคคลที่มีความอ่อนไหวที่บริษัทฯได้รับมาจากการเปิดเผยของบริษัทประกันชีวิต บริษัทฯสามารถประมวลผลได้โดยอาศัยความยินยอมจากเจ้าของข้อมูลส่วนบุคคล บริษัทฯจะประมวลผลเมื่อได้รับความยินยอม หรือเมื่อคู่สัญญาประกันภัยต่อของบริษัทฯได้รับความยินยอม โดยบริษัทฯดำเนินการเพื่อให้มั่นใจว่าคู่สัญญาของบริษัทฯจะส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลแก่บริษัทฯเมื่อได้รับอนุญาตเท่านั้น
- เพื่อปฏิบัติตามกฎหมาย (legal obligation) เช่น การปฏิบัติตามบทบัญญัติของกฎหมาย ระเบียบ หรือคำสั่งของผู้ที่มีอำนาจตามกฎหมาย ไม่ว่าจะเป็น หน่วยงานของรัฐ หน่วยงานกำกับดูแล คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ศาล หรือหน่วยงานตามกฎหมายอื่น
ในกรณีที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการปฏิบัติตามกฎหมาย การปฏิบัติตามสัญญา หรือเพื่อความจำเป็นในการเข้าทำสัญญา หากเจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลส่วนบุคคลหรือคัดค้านการดำเนินการประมวลผลตามวัตถุประสงค์ของกิจกรรม อาจมีผลทำให้บริษัทฯ ไม่สามารถดำเนินการหรือให้บริการตามที่ร้องขอได้ทั้งหมดหรือบางส่วน
4. การเก็บรักษาข้อมูลส่วนบุคคล และการลบหรือทำลายข้อมูลส่วนบุคคล
บริษัทฯอาจเก็บรักษาข้อมูลส่วนบุคคลไว้นานเท่าที่จำเป็นต้องเก็บเพื่อการดำเนินการให้บรรลุตามวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลตามที่ระบุข้างต้น โดยบริษัทฯจะเก็บรักษาข้อมูลส่วนบุคคลตลอดระยะเวลาที่บริษัทฯมีความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคล หรือไม่เกินระยะเวลา 10 ปี นับแต่วันที่เจ้าของข้อมูลส่วนบุคคลสิ้นสุดความสัมพันธ์กับบริษัทฯ และอาจเก็บต่อไปตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความตามกฎหมาย เพื่อการก่อตั้ง การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย
บริษัทฯมีการดำเนินการที่เหมาะสมเพื่อทำการลบหรือทำลายเมื่อพ้นระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการประมวลผล หรือดำเนินการทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตน
5. การเปิดเผยข้อมูลส่วนบุคคลให้บุคคลอื่น
พนักงานของบริษัทฯเฉพาะบุคคลที่เกี่ยวข้องในวงจำกัดสามารถเข้าถึงและประมวลผลข้อมูลส่วนบุคคล โดยบริษัทฯมีการตรวจสอบสิทธิการเข้าถึงดังกล่าวอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าข้อมูลถูกใช้เท่าที่จำเป็นตามวัตถุประสงค์ของการประมวลผล ทั้งนี้ ในกรณีที่กฎหมายอนุญาตให้กระทำได้หรือกรณีที่การเปิดเผยมีความจำเป็นเพื่อให้สามารถบรรลุตามวัตถุประสงค์ของการประมวลผล บริษัทฯอาจเปิดเผยข้อมูลส่วนบุคคลนั้นแก่บุคคลต่างๆ ดังต่อไปนี้
4. การเก็บรักษาข้อมูลส่วนบุคคล และการลบหรือทำลายข้อมูลส่วนบุคคล
บริษัทฯอาจเก็บรักษาข้อมูลส่วนบุคคลไว้นานเท่าที่จำเป็นต้องเก็บเพื่อการดำเนินการให้บรรลุตามวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลตามที่ระบุข้างต้น โดยบริษัทฯจะเก็บรักษาข้อมูลส่วนบุคคลตลอดระยะเวลาที่บริษัทฯมีความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคล หรือไม่เกินระยะเวลา 10 ปี นับแต่วันที่เจ้าของข้อมูลส่วนบุคคลสิ้นสุดความสัมพันธ์กับบริษัทฯ และอาจเก็บต่อไปตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความตามกฎหมาย เพื่อการก่อตั้ง การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย
บริษัทฯมีการดำเนินการที่เหมาะสมเพื่อทำการลบหรือทำลายเมื่อพ้นระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการประมวลผล หรือดำเนินการทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตน
5. การเปิดเผยข้อมูลส่วนบุคคลให้บุคคลอื่น
พนักงานของบริษัทฯเฉพาะบุคคลที่เกี่ยวข้องในวงจำกัดสามารถเข้าถึงและประมวลผลข้อมูลส่วนบุคคล โดยบริษัทฯมีการตรวจสอบสิทธิการเข้าถึงดังกล่าวอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าข้อมูลถูกใช้เท่าที่จำเป็นตามวัตถุประสงค์ของการประมวลผล ทั้งนี้ ในกรณีที่กฎหมายอนุญาตให้กระทำได้หรือกรณีที่การเปิดเผยมีความจำเป็นเพื่อให้สามารถบรรลุตามวัตถุประสงค์ของการประมวลผล บริษัทฯอาจเปิดเผยข้อมูลส่วนบุคคลนั้นแก่บุคคลต่างๆ ดังต่อไปนี้
- หน่วยงานรัฐและหน่วยงานกำกับดูแล เช่น สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย สำนักงานป้องกันและปราบปรามการฟอกเงิน ธนาคารแห่งประเทศไทย คณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ กรมสรรพากร ศาล ตำรวจ หรือบุคคลที่เกี่ยวข้องกับการดำเนินคดี
- ผู้ให้บริการที่เกี่ยวข้อง เช่น สถาบันการเงิน ผู้ให้บริการด้านเทคโนโลยีสารสนเทศ บริการวิเคราะห์ข้อมูล บริการทำการตลาด บริการทำการวิจัย ที่ปรึกษา ผู้ให้บริการทางวิชาชีพ ทนายความ แพทย์ที่ปรึกษา ผู้สอบบัญชี ผู้ให้บริการ หรือตัวแทนผู้ให้บริการเกี่ยวกับการจัดการต่าง ๆ การให้บริการประมวลผลข้อมูล บริการเกี่ยวกับกระบวนการทางธุรกิจ
- บริษัทประกันภัยต่ออื่น บริษัทนายหน้าประกันภัยต่อ และบริษัทประกันชีวิตที่ส่งต่อหรือเปิดเผยข้อมูลมายังบริษัทฯ
การเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลดังกล่าว บริษัทฯจะกำหนดให้ผู้ที่ได้รับข้อมูลมีมาตรการปกป้องข้อมูลส่วนบุคคลอย่างเหมาะสม ประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นตามขอบเขตและวัตถุประสงค์ที่บริษัทฯกำหนดเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบ
6. การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
บริษัทฯอาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลหรือหน่วยงานในต่างประเทศ รวมทั้งอาจเก็บข้อมูลส่วนบุคคลบนคอมพิวเตอร์เซิร์ฟเวอร์หรือคลาวด์ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคล
ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทฯจะปฏิบัติตามเงื่อนไขที่กำหนดในพระราชบัญญัติฯ รวมทั้งวิธีการหรือมาตรการที่กำหนดในกฎหมายลำดับรอง และใช้มาตรการที่เหมาะสมเพื่อทำให้มั่นใจได้ว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครอง ตลอดจนจะกำหนดให้ผู้ที่ได้รับข้อมูลมีมาตรการปกป้องข้อมูลส่วนบุคคลอย่างเหมาะสมและประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้บุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบ
7. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัทฯตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (data security) บริษัทฯ จึงกำหนดให้มีมาตรการทางเทคนิค (technical measures) มาตรการเชิงบริหารจัดการ (organizational measures) และมาตรการป้องกันทางกายภาพ (physical measures) ในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม โดยสอดคล้องกับหลัก 3 ประการ ได้แก่ การรักษาความลับของข้อมูลส่วนบุคคล (confidentiality) ความถูกต้องครบถ้วน (integrity) และ สภาพพร้อมใช้งาน (availability) ตัวอย่างเช่น มาตรฐานความปลอดภัยของระบบเทคโนโลยีสารสนเทศในการควบคุมการเข้าถึงข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงการอนุญาตเข้าถึงข้อมูลส่วนบุคคล การกำหนดสิทธิ การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน การบริหารจัดการการเข้าถึง การตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง การสร้างความมั่นคงปลอดภัยทางกายภาพ เพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ ดัดแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย
บริษัทฯจัดให้มีการทบทวนมาตรการรักษาความมั่นคงปลอดภัยเป็นประจำ หรือเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
8. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้ดังนี้
6. การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
บริษัทฯอาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลหรือหน่วยงานในต่างประเทศ รวมทั้งอาจเก็บข้อมูลส่วนบุคคลบนคอมพิวเตอร์เซิร์ฟเวอร์หรือคลาวด์ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคล
ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทฯจะปฏิบัติตามเงื่อนไขที่กำหนดในพระราชบัญญัติฯ รวมทั้งวิธีการหรือมาตรการที่กำหนดในกฎหมายลำดับรอง และใช้มาตรการที่เหมาะสมเพื่อทำให้มั่นใจได้ว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครอง ตลอดจนจะกำหนดให้ผู้ที่ได้รับข้อมูลมีมาตรการปกป้องข้อมูลส่วนบุคคลอย่างเหมาะสมและประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้บุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบ
7. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัทฯตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (data security) บริษัทฯ จึงกำหนดให้มีมาตรการทางเทคนิค (technical measures) มาตรการเชิงบริหารจัดการ (organizational measures) และมาตรการป้องกันทางกายภาพ (physical measures) ในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม โดยสอดคล้องกับหลัก 3 ประการ ได้แก่ การรักษาความลับของข้อมูลส่วนบุคคล (confidentiality) ความถูกต้องครบถ้วน (integrity) และ สภาพพร้อมใช้งาน (availability) ตัวอย่างเช่น มาตรฐานความปลอดภัยของระบบเทคโนโลยีสารสนเทศในการควบคุมการเข้าถึงข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงการอนุญาตเข้าถึงข้อมูลส่วนบุคคล การกำหนดสิทธิ การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน การบริหารจัดการการเข้าถึง การตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง การสร้างความมั่นคงปลอดภัยทางกายภาพ เพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ ดัดแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย
บริษัทฯจัดให้มีการทบทวนมาตรการรักษาความมั่นคงปลอดภัยเป็นประจำ หรือเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
8. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้ดังนี้
- สิทธิในการเพิกถอนความยินยอม (right to withdraw consent) เจ้าของข้อมูลส่วนบุคคลมีสิทธิเพิกถอนความยินยอมในการประมวลผลที่ให้ไว้กับบริษัทฯ (ไม่ว่าความยินยอมนั้นจะได้ให้ไว้ก่อนหรือหลังพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับ) เว้นแต่มีข้อจำกัดสิทธิในการเพิกถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล อย่างไรก็ตาม การเพิกถอนความยินยอมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว และการเพิกถอนความยินยอมอาจส่งผลให้บริษัทฯ ไม่สามารถดำเนินการเพื่อบรรลุวัตถุประสงค์บางส่วนหรือทั้งหมดตามที่ระบุไว้ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ได้
- สิทธิในการได้รับแจ้งข้อมูล (right to be informed) เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะได้รับแจ้งข้อมูลต่าง ๆ ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล
- สิทธิในการขอเข้าถึงข้อมูล (right to access) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของบริษัทฯ
- สิทธิในการคัดค้าน (right to object) เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้
- สิทธิในการลบข้อมูล (right to erasure) หรือสิทธิที่จะถูกลืม (right to be forgotten) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทฯดำเนินการลบ ทำลาย ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
- สิทธิในการระงับการประมวลผล (right to restriction of processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทฯระงับการใช้ข้อมูลส่วนบุคคลได้
- สิทธิในการขอแก้ไขข้อมูลให้ถูกต้อง (right to rectification) ในกรณีที่ข้อมูลส่วนบุคคลไม่ถูกต้อง ไม่เป็นปัจจุบัน ไม่สมบูรณ์ หรืออาจก่อให้เกิดความเข้าใจผิด เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอให้บริษัทฯแก้ไขข้อมูลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
- สิทธิในการโอนย้ายข้อมูล (right to data portability) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทฯส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
- สิทธิในการร้องเรียน (right to lodge a complaint) เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่บริษัทฯฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯจะดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคลเมื่อมีการร้องขอตามช่องทางการขอใช้สิทธิ โดยบริษัทฯจะพิจารณาและแจ้งผลการพิจารณาตามคำร้องขอภายใน 30 วันนับแต่วันที่ได้รับคำร้องขอและเอกสารประกอบครบถ้วน ทั้งนี้ บริษัทฯอาจขอสงวนสิทธิไม่ปฏิบัติตามคำร้องขอใช้สิทธิตามความเหมาะสมและเท่าที่กฎหมายจะอนุญาต
9. การทบทวนและเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯอาจทำการปรับปรุงหรือแก้ไขนโยบายนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับข้อกำหนดตามกฎหมาย การเปลี่ยนแปลงการดำเนินงานของบริษัทฯ รวมถึงข้อเสนอแนะและความคิดเห็นจากหน่วยงานต่าง ๆ โดยจะประกาศแจ้งการเปลี่ยนแปลงให้ทราบอย่างชัดเจน
10. การติดต่อบริษัทฯ
ในกรณีที่มีข้อสงสัยเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือต้องการใช้สิทธิในฐานะเจ้าของข้อมูลส่วนบุคคล สามารถติดต่อบริษัทฯ ได้ที่
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
บริษัท ไทยรีประกันชีวิต จำกัด (มหาชน)
48/15 ซอยรัชดาภิเษก 20 ถนนรัชดาภิเษก แขวงสามเสนนอก เขตห้วยขวาง กรุงเทพฯ 10310
โทรศัพท์: 02-666-9000 โทรสาร: 02-277-6227
Email address: pdpa@thairelife.co.th
9. การทบทวนและเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯอาจทำการปรับปรุงหรือแก้ไขนโยบายนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับข้อกำหนดตามกฎหมาย การเปลี่ยนแปลงการดำเนินงานของบริษัทฯ รวมถึงข้อเสนอแนะและความคิดเห็นจากหน่วยงานต่าง ๆ โดยจะประกาศแจ้งการเปลี่ยนแปลงให้ทราบอย่างชัดเจน
10. การติดต่อบริษัทฯ
ในกรณีที่มีข้อสงสัยเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือต้องการใช้สิทธิในฐานะเจ้าของข้อมูลส่วนบุคคล สามารถติดต่อบริษัทฯ ได้ที่
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
บริษัท ไทยรีประกันชีวิต จำกัด (มหาชน)
48/15 ซอยรัชดาภิเษก 20 ถนนรัชดาภิเษก แขวงสามเสนนอก เขตห้วยขวาง กรุงเทพฯ 10310
โทรศัพท์: 02-666-9000 โทรสาร: 02-277-6227
Email address: pdpa@thairelife.co.th