นโยบายการคุ้มครองข้อมูลส่วนบุคคล
สำหรับบุคคลทั่วไป
บริษัท ไทยรีประกันชีวิต จำกัด (มหาชน) ตระหนักเป็นอย่างยิ่งถึงความสำคัญของสิทธิในความเป็นส่วนตัว (privacy right) และสิทธิในข้อมูลส่วนบุคคล (personal data right) ซึ่งเป็นสิทธิมนุษยชนขั้นพื้นฐานที่มนุษย์ทุกคนต้องได้รับการคุ้มครองและได้รับการเคารพจากบุคคลอื่น บริษัทฯจึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น เพื่อเป็นแนวทางในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และเพื่อเป็นการคุ้มครองสิทธิในความเป็นส่วนของเจ้าของข้อมูลส่วนบุคคล รวมทั้งเพื่อแจ้งให้ทราบถึงรายละเอียดการเก็บรวบรวม ใช้ หรือเปิดเผยการเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ดังนี้
1. คำนิยาม
1. คำนิยาม
| บริษัทฯ | หมายถึง | บริษัท ไทยรีประกันชีวิต จำกัด (มหาชน) |
| พระราชบัญญัติฯ | หมายถึง | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 |
| ข้อมูลส่วนบุคคล | หมายถึง | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| เจ้าของข้อมูลส่วนบุคคล | หมายถึง | บุคคลธรรมดาที่ยังมีชีวิตอยู่ซึ่งข้อมูลส่วนบุคคลของตนถูกเก็บรวบรวม ใช้ หรือเปิดเผย |
| การประมวลผล | หมายถึง | การดำเนินการต่าง ๆ ที่กระทำต่อข้อมูลส่วนบุคคลอย่างใดอย่างหนึ่ง หรือข้อมูลส่วนบุคคลหลายอย่างประกอบกัน |
2. ข้อมูลส่วนบุคคลที่เก็บรวบรวม
การประกอบธุรกิจหลักของบริษัทฯ ได้แก่ การรับประกันภัยต่อด้านการประกันชีวิต (life reinsurance) เป็นการประกอบธุรกิจระหว่างผู้ประกอบการด้วยกันเอง (business to business) อย่างไรก็ตาม ในกรณีบุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลสมัครเข้าร่วมกิจกรรมส่งเสริมการขายใด ๆ ที่บริษัทฯ และ/หรือ พันธมิตรทางธุรกิจร่วมกันจัดขึ้น เช่น การจัดให้มีกิจกรรมหรือสิทธิพิเศษผ่านเว็บไซต์ แอปพลิเคชัน แพลตฟอร์มที่บริษัทฯ และ/หรือ พันธมิตรทางธุรกิจใช้เป็นช่องทางในการโฆษณาสินค้า หรือ กรณีที่บริษัทฯ เข้าร่วมกับพันธมิตรทางธุรกิจจัดกิจกรรมส่งเสริมการขายในรูปแบบต่าง ๆ บริษัทฯ อาจมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรงตามมาตรา 19 แห่งพระราชบัญญัติฯ หรืออาจได้รับข้อมูลส่วนบุคคลโดยอ้อมผ่านทางพันธมิตรทางธุรกิจตามมาตรา 27 วรรคสอง แห่งพระราชบัญญัติฯ
บริษัทฯเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ทั่วไป ดังต่อไปนี้
- ข้อมูลที่ใช้ระบุตัวตน เช่น ชื่อ นามสกุล เพศ อายุ ลายมือชื่อ ข้อมูลเกี่ยวกับการเปลี่ยนชื่อ-สกุล อาชีพ การศึกษา สถานภาพการสมรส รูปถ่าย
- ข้อมูลติดต่อ เช่น ที่อยู่ หมายเลขโทรศัพท์ e-mail ช่องทางการติดต่อผ่านสังคมออนไลน์ (social media)
- ข้อมูลทางเทคนิค เช่น ข้อมูลการใช้งานเว็บไซต์และระบบต่าง ๆ ของบริษัทฯ ข้อมูลจราจรทางคอมพิวเตอร์ ข้อมูลจากการบันทึกการใช้งาน ข้อมูลแอปพลิเคชั่นหรือเว็บไซต์ที่ผู้ใช้งานเข้าถึงก่อนและหลัง และข้อมูลที่บริษัทฯ ได้เก็บรวบรวมผ่านคุกกี้หรือเทคโนโลยีอื่นที่คล้ายกัน
3. วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล
บริษัทฯ ประมวลผลข้อมูลส่วนบุคคลของบุคคลทั่วไปเพื่อวัตถุประสงค์ทางธุรกิจตามมาตรฐานวิชาชีพ โดยมีฐานทางกฎหมายในการประมวลผลและการดำเนินการ ดังต่อไปนี้
- เพื่อการปฏิบัติตามสัญญา (contract) เช่น กรณีที่บริษัทฯมีการทำข้อตกลงในการให้บริการหรือสิ่งอื่นใดเพื่อตอบแทนการให้ข้อมูลการติดต่อของเจ้าของข้อมูลส่วนบุคคล
- เพื่อประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest) ข้อมูลส่วนบุคคลทั่วไปที่บริษัทฯ เก็บรวบรวมหรือได้รับมาจากการเปิดเผยของบุคคลอื่น บริษัทฯสามารถประมวลผลเพื่อการบริหารจัดการภายใน การพัฒนาผลิตภัณฑ์หรือบริการ การร่วมกับพันธมิตรทางธุรกิจ นำเสนอหรือออกแบบผลิตภัณฑ์ และ/หรือบริการอันเกี่ยวเนื่องกับการประกันชีวิต การวิจัยทางการตลาด การวิเคราะห์ข้อมูลเชิงลึก และการทำวิจัยเชิงสถิติหรือคณิตศาสตร์ประกันภัย เพื่อประมวลผลพฤติกรรมการเข้าถึงเว็บไซต์ แอปพลิเคชัน หรือแพลตฟอร์มออนไลน์ เพื่อทำความเข้าใจลักษณะการใช้งานและตอบสนองความสนใจที่เหมาะสมกับเจ้าของข้อมูลส่วนบุคคลเพื่อจัดโฆษณาตามช่องทางออนไลน์ต่าง ๆ ตามกลุ่มเป้าหมาย ความปลอดภัยของพนักงาน บุคคลภายนอก หรือทรัพย์สินต่าง ๆของบริษัทฯ ทั้งนี้การประมวลผลที่กล่าวข้างต้น ประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯต้องมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
- ความยินยอม(consent)ข้อมูลส่วนบุคคลที่บริษัทฯได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อเก็บรวบรวมใช้หรือเปิดเผยต่อพันธมิตรทางธุรกิจเพื่อวัตถุประสงค์ทางการตลาดบริษัทฯสามารถประมวลผลได้โดยอาศัยความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหรือเมื่อพันธมิตรทางธุรกิจได้รับความยินยอมโดยบริษัทฯดำเนินการเพื่อให้มั่นใจว่าคู่สัญญาของบริษัทฯจะส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลแก่บริษัทฯเมื่อได้รับความยินยอมจากเจ้าของข้อมูลเท่านั้นในกรณีที่บริษัทฯอาศัยฐานความยินยอมในการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาดเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะไม่ให้ความยินยอมได้แต่หากความยินยอมดังกล่าวเป็นเงื่อนไขในการรับสิทธิพิเศษหรือกิจกรรมทางการตลาดที่บริษัทฯหรือพันธมิตรทางธุรกิจจัดหามาให้เป็นการเฉพาะ บริษัทฯ สามารถปฏิเสธการให้สิทธิพิเศษหรือผลประโยชน์ทางการตลาดนั้นแก่เจ้าของข้อมูลส่วนบุคคลได้
- เพื่อปฏิบัติตามกฎหมาย (legal obligation) เช่น การปฏิบัติตามบทบัญญัติของกฎหมาย ระเบียบ หรือ คำสั่งของผู้ที่มีอำนาจตามกฎหมาย ไม่ว่าจะเป็น หน่วยงานของรัฐ หน่วยงานกำกับดูแล คณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล ศาล หรือหน่วยงานตามกฎหมายอื่น
ในกรณีที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการปฏิบัติตามกฎหมาย การปฏิบัติตามสัญญา หรือ เพื่อความจำเป็นในการเข้าทำสัญญา หากเจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลส่วนบุคคลหรือคัดค้านการดำเนินการประมวลผลตามวัตถุประสงค์ของกิจกรรม อาจมีผลทำให้บริษัทฯ ไม่สามารถดำเนินการหรือให้บริการตามที่ร้องขอได้ทั้งหมดหรือบางส่วน นอกจากนี้โดยปกติบริษัทฯ จะไม่เก็บข้อมูลส่วนบุคคลของผู้เยาว์ ผู้ไร้ความสามารถ หรือผู้เสมือนไร้ความสามารถ ทั้งนี้ในกรณีที่บริษัทฯจำเป็นต้องเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ ผู้ไร้ความสามารถ หรือบุคคลเสมือนไร้ความสามารถ บริษัทฯ จะขอความยินยอมจากผู้แทนโดยชอบธรรมหรือผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ตามที่กฎหมายกำหนด
4. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลและการลบ ทำลายข้อมูลส่วนบุคคล
บริษัทฯอาจเก็บรักษาข้อมูลส่วนบุคคลไว้นานเท่าที่จำเป็นต้องเก็บเพื่อการดำเนินการให้บรรลุตามวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลตามที่ระบุข้างต้นโดยบริษัทฯจะเก็บรักษาข้อมูลส่วนบุคคลตลอดระยะเวลาที่บริษัทฯมีความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคลหรือไม่เกินระยะเวลา11ปีนับแต่วันที่ท่านสิ้นสุดความสัมพันธ์บริษัทฯและอาจเก็บต่อไปตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความตามกฎหมายเพื่อการก่อตั้งการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย
บริษัทฯมีการดำเนินการที่เหมาะสมเพื่อทำการลบหรือทำลายเมื่อพ้นระยะเวลาการเก็บรักษาหรือ
ที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการประมวลผลหรือเมื่อเจ้าของข้อมูลส่วนบุคคลใช้สิทธิในการถอนความยินยอมในกรณีเป็นการให้ความยินยอมเพื่อวัตถุประสงค์ทางการตลาดหรือดำเนินการทำให้ข้อมูล ส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนโดยอาจไม่แจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบถึงการลบหรือทำลายข้อมูลส่วนบุคคลดังกล่าวล่วงหน้า
5. การเปิดเผยข้อมูลส่วนบุคคลให้บุคคลอื่น
พนักงานของบริษัทฯเฉพาะบุคคลที่เกี่ยวข้องในวงจำกัดสามารถเข้าถึงและประมวลผลข้อมูลส่วนบุคคล โดยบริษัทฯมีการตรวจสอบสิทธิการเข้าถึงดังกล่าวอย่างสม่ำเสมอเพื่อให้มั่นใจว่าข้อมูลถูกใช้เท่าที่จำเป็นตามวัตถุประสงค์ของการประมวลผลทั้งนี้ในกรณีที่กฎหมายอนุญาตให้กระทำได้หรือกรณีที่การเปิดเผยมีความจำเป็นเพื่อให้สามารถบรรลุตามวัตถุประสงค์ของการประมวลผล บริษัทฯอาจเปิดเผยข้อมูลส่วนบุคคลนั้นแก่บุคคลต่างๆ ดังต่อไปนี้
4. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลและการลบ ทำลายข้อมูลส่วนบุคคล
บริษัทฯอาจเก็บรักษาข้อมูลส่วนบุคคลไว้นานเท่าที่จำเป็นต้องเก็บเพื่อการดำเนินการให้บรรลุตามวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลตามที่ระบุข้างต้นโดยบริษัทฯจะเก็บรักษาข้อมูลส่วนบุคคลตลอดระยะเวลาที่บริษัทฯมีความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคลหรือไม่เกินระยะเวลา11ปีนับแต่วันที่ท่านสิ้นสุดความสัมพันธ์บริษัทฯและอาจเก็บต่อไปตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความตามกฎหมายเพื่อการก่อตั้งการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย
บริษัทฯมีการดำเนินการที่เหมาะสมเพื่อทำการลบหรือทำลายเมื่อพ้นระยะเวลาการเก็บรักษาหรือ
ที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการประมวลผลหรือเมื่อเจ้าของข้อมูลส่วนบุคคลใช้สิทธิในการถอนความยินยอมในกรณีเป็นการให้ความยินยอมเพื่อวัตถุประสงค์ทางการตลาดหรือดำเนินการทำให้ข้อมูล ส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนโดยอาจไม่แจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบถึงการลบหรือทำลายข้อมูลส่วนบุคคลดังกล่าวล่วงหน้า
5. การเปิดเผยข้อมูลส่วนบุคคลให้บุคคลอื่น
พนักงานของบริษัทฯเฉพาะบุคคลที่เกี่ยวข้องในวงจำกัดสามารถเข้าถึงและประมวลผลข้อมูลส่วนบุคคล โดยบริษัทฯมีการตรวจสอบสิทธิการเข้าถึงดังกล่าวอย่างสม่ำเสมอเพื่อให้มั่นใจว่าข้อมูลถูกใช้เท่าที่จำเป็นตามวัตถุประสงค์ของการประมวลผลทั้งนี้ในกรณีที่กฎหมายอนุญาตให้กระทำได้หรือกรณีที่การเปิดเผยมีความจำเป็นเพื่อให้สามารถบรรลุตามวัตถุประสงค์ของการประมวลผล บริษัทฯอาจเปิดเผยข้อมูลส่วนบุคคลนั้นแก่บุคคลต่างๆ ดังต่อไปนี้
- หน่วยงานรัฐและหน่วยงานกำกับดูแล เช่น สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย สำนักงานป้องกันและปราบปรามการฟอกเงิน ธนาคารแห่งประเทศไทย คณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ กรมสรรพากร ศาล ตำรวจ หรือบุคคลที่เกี่ยวข้องกับการดำเนินคดี
- ผู้ให้บริการที่เกี่ยวข้อง เช่น สถาบันการเงิน ผู้ให้บริการด้านเทคโนโลยีสารสนเทศ บริการวิเคราะห์ข้อมูล บริการทำการตลาด บริการทำการวิจัย ที่ปรึกษา ผู้ให้บริการทางวิชาชีพ ทนายความ แพทย์ที่ปรึกษา ผู้สอบบัญชี ผู้ให้บริการหรือตัวแทนผู้ให้บริการเกี่ยวกับการจัดการต่าง ๆ การให้บริการประมวลผลข้อมูล บริการเกี่ยวกับกระบวนการทางธุรกิจ บริการเกี่ยวกับการชำระเงิน บริการโทรคมนาคม บริการเทคโนโลยี บริการรับส่งไปรษณีย์หรือพัสดุ
- พันธมิตรทางธุรกิจ นายหน้าประกันชีวิต และบริษัทประกันชีวิตผู้ร่วมพัฒนาผลิตภัณฑ์ หรือบริการ อันเกี่ยวเนื่องกับการประกันชีวิต
การเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลดังกล่าว บริษัทฯจะกำหนดให้ผู้ที่ได้รับข้อมูลมีมาตรการปกป้องข้อมูลส่วนบุคคลอย่างเหมาะสม ประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นตามขอบเขตและวัตถุประสงค์ที่บริษัทฯกำหนดเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบ
6. การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
บริษัทฯอาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลหรือหน่วยงานในต่างประเทศ รวมทั้งอาจเก็บข้อมูลส่วนบุคคลบนคอมพิวเตอร์เซิร์ฟเวอร์หรือคลาวด์ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคล
ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทฯจะปฏิบัติตามเงื่อนไขที่กำหนดในพระราชบัญญัติฯ รวมทั้งวิธีการหรือมาตรการที่กำหนดในกฎหมายลำดับรอง และใช้มาตรการที่เหมาะสมเพื่อทำให้มั่นใจได้ว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครอง ตลอดจนจะกำหนดให้ผู้ที่ได้รับข้อมูลมีมาตรการปกป้องข้อมูลส่วนบุคคลอย่างเหมาะสมและประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้บุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบ
7. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัทฯตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (data security) บริษัทฯ จึงกำหนดให้มีมาตรการทางเทคนิค (technical measures) มาตรการเชิงบริหารจัดการ (organizational measures) และมาตรการป้องกันทางกายภาพ (physical measures) ในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม โดยสอดคล้องกับหลัก 3 ประการ ได้แก่ การรักษาความลับของข้อมูลส่วนบุคคล (confidentiality) ความถูกต้องครบถ้วน (integrity) และ สภาพพร้อมใช้งาน (availability) ตัวอย่างเช่น มาตรฐานความปลอดภัยของระบบเทคโนโลยีสารสนเทศในการควบคุมการเข้าถึงข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงการอนุญาตเข้าถึงข้อมูลส่วนบุคคล การกำหนดสิทธิ การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน การบริหารจัดการการเข้าถึง การตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง การสร้างความมั่นคงปลอดภัยทางกายภาพ เพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ ดัดแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย
บริษัทฯจัดให้มีการทบทวนมาตรการรักษาความมั่นคงปลอดภัยเป็นประจำ หรือเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
8. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้ดังนี้
6. การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
บริษัทฯอาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลหรือหน่วยงานในต่างประเทศ รวมทั้งอาจเก็บข้อมูลส่วนบุคคลบนคอมพิวเตอร์เซิร์ฟเวอร์หรือคลาวด์ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคล
ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทฯจะปฏิบัติตามเงื่อนไขที่กำหนดในพระราชบัญญัติฯ รวมทั้งวิธีการหรือมาตรการที่กำหนดในกฎหมายลำดับรอง และใช้มาตรการที่เหมาะสมเพื่อทำให้มั่นใจได้ว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครอง ตลอดจนจะกำหนดให้ผู้ที่ได้รับข้อมูลมีมาตรการปกป้องข้อมูลส่วนบุคคลอย่างเหมาะสมและประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้บุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบ
7. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัทฯตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (data security) บริษัทฯ จึงกำหนดให้มีมาตรการทางเทคนิค (technical measures) มาตรการเชิงบริหารจัดการ (organizational measures) และมาตรการป้องกันทางกายภาพ (physical measures) ในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม โดยสอดคล้องกับหลัก 3 ประการ ได้แก่ การรักษาความลับของข้อมูลส่วนบุคคล (confidentiality) ความถูกต้องครบถ้วน (integrity) และ สภาพพร้อมใช้งาน (availability) ตัวอย่างเช่น มาตรฐานความปลอดภัยของระบบเทคโนโลยีสารสนเทศในการควบคุมการเข้าถึงข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงการอนุญาตเข้าถึงข้อมูลส่วนบุคคล การกำหนดสิทธิ การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน การบริหารจัดการการเข้าถึง การตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง การสร้างความมั่นคงปลอดภัยทางกายภาพ เพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ ดัดแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย
บริษัทฯจัดให้มีการทบทวนมาตรการรักษาความมั่นคงปลอดภัยเป็นประจำ หรือเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
8. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้ดังนี้
- สิทธิในการเพิกถอนความยินยอม (right to withdraw consent) เจ้าของข้อมูลส่วนบุคคลมีสิทธิเพิกถอนความยินยอมในการประมวลผลที่ให้ไว้กับบริษัทฯ (ไม่ว่าความยินยอมนั้นจะได้ให้ไว้ก่อนหรือหลังพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ.2562 มีผลใช้บังคับ) เว้นแต่มีข้อจำกัดสิทธิในการเพิกถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล อย่างไรก็ตามการเพิกถอนความยินยอมไม่ส่งผลกระทบต่อการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้วและการเพิกถอนความยินยอมอาจส่งผลให้บริษัทฯไม่สามารถดำเนินการเพื่อบรรลุวัตถุประสงค์บางส่วนหรือทั้งหมดตามที่ระบุไว้ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ได้
- สิทธิในการได้รับแจ้งข้อมูล (right to be informed) เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะได้รับแจ้งข้อมูลต่าง ๆ ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล
- สิทธิในการขอเข้าถึงข้อมูล (right to access) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของบริษัทฯ
- สิทธิในการคัดค้าน (right to object) เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้
- สิทธิในการลบข้อมูล (right to erasure) หรือสิทธิที่จะถูกลืม (right to be forgotten) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทฯดำเนินการลบ ทำลาย ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
- สิทธิในการระงับการประมวลผล (right to restriction of processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทฯระงับการใช้ข้อมูลส่วนบุคคลได้
- สิทธิในการขอแก้ไขข้อมูลให้ถูกต้อง (right to rectification) ในกรณีที่ข้อมูลส่วนบุคคลไม่ถูกต้อง ไม่เป็นปัจจุบัน ไม่สมบูรณ์ หรืออาจก่อให้เกิดความเข้าใจผิด เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอให้บริษัทฯแก้ไขข้อมูลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
- สิทธิในการโอนย้ายข้อมูล (right to data portability) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทฯส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
- สิทธิในการร้องเรียน (right to lodge a complaint) เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่บริษัทฯฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯจะดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคลเมื่อมีการร้องขอตามช่องทางการขอใช้สิทธิ โดยบริษัทฯจะพิจารณาและแจ้งผลการพิจารณาตามคำร้องขอภายใน 30 วันนับแต่วันที่ได้รับคำร้องขอและเอกสารประกอบครบถ้วน ทั้งนี้ บริษัทฯอาจขอสงวนสิทธิไม่ปฏิบัติตามคำร้องขอใช้สิทธิตามความเหมาะสมและเท่าที่กฎหมายจะอนุญาต
9. การเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯ อาจดำเนินการปรับปรุงหรือเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ เพื่อให้สอดคล้องกับการเปลี่ยนแปลงใด ๆ ในการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือการเปลี่ยนแปลงใด ๆ ของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องทั้งนี้ ขอให้เจ้าของข้อมูลส่วนบุคคลทำการตรวจสอบทบทวนนโยบายนี้เป็นครั้งคราว
10. การติดต่อบริษัทฯ
ในกรณีที่มีข้อสงสัยเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือต้องการใช้สิทธิในฐานะเจ้าของข้อมูลส่วนบุคคล สามารถติดต่อบริษัทฯ ได้ที่
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
บริษัท ไทยรีประกันชีวิต จำกัด (มหาชน)
48/15 ซอยรัชดาภิเษก 20 ถนนรัชดาภิเษก แขวงสามเสนนอก เขตห้วยขวาง กรุงเทพฯ 10310
โทรศัพท์: 02-666-9000 โทรสาร: 02-277-6227
Email address: pdpa@thairelife.co.th
9. การเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯ อาจดำเนินการปรับปรุงหรือเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ เพื่อให้สอดคล้องกับการเปลี่ยนแปลงใด ๆ ในการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือการเปลี่ยนแปลงใด ๆ ของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องทั้งนี้ ขอให้เจ้าของข้อมูลส่วนบุคคลทำการตรวจสอบทบทวนนโยบายนี้เป็นครั้งคราว
10. การติดต่อบริษัทฯ
ในกรณีที่มีข้อสงสัยเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือต้องการใช้สิทธิในฐานะเจ้าของข้อมูลส่วนบุคคล สามารถติดต่อบริษัทฯ ได้ที่
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
บริษัท ไทยรีประกันชีวิต จำกัด (มหาชน)
48/15 ซอยรัชดาภิเษก 20 ถนนรัชดาภิเษก แขวงสามเสนนอก เขตห้วยขวาง กรุงเทพฯ 10310
โทรศัพท์: 02-666-9000 โทรสาร: 02-277-6227
Email address: pdpa@thairelife.co.th