นโยบายการคุ้มครองข้อมูลส่วนบุคคล
1. บทนำ
บริษัท พีลาทัส มารีน จำกัด (มหาชน) เคารพสิทธิความเป็นส่วนตัวของบุคคล ซึ่งรวมถึงแต่ไม่จำกัด เพียงลูกค้า คู่ค้า ผู้ถือหุ้น พนักงานของบริษัทฯ และบุคคลต่าง ๆ ที่เกี่ยวข้องกับบริษัทฯ ดังนั้นเพื่อให้เกิด ความมั่นใจว่าบริษัทฯ ได้ตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลของบุคคลดังกล่าว และบุคคลดังกล่าวจะได้รับความคุ้มครองสิทธิอย่างครบถ้วนตามกฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคล ที่ประชุมคณะกรรมการ บริษัท พีลาทัส มารีน จำกัด (มหาชน) ครั้งที่ 1/2565 เมื่อวันที่ 25 กุมภาพันธ์ 2565 จึงได้มีมติอนุมัตินโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อใช้เป็นหลักเกณฑ์ กลไก มาตรการ กำกับดูแล และการบริหารจัดการข้อมูลส่วนบุคคลอย่างชัดเจนและเหมาะสม
2. ขอบเขตการบังคับใช้
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ใช้บังคับกับบริษัทฯ บริษัทย่อย กรรมการ ผู้บริหาร พนักงานทุก ระดับของบริษัทฯ รวมถึงบุคคลหรือนิติบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของบริษัทฯ
3. คำนิยาม
3.1 บริษัทฯ หมายถึง บริษัท พีลาทัส มารีน จำกัด (มหาชน) และบริษัทย่อยตามงบการเงินรวมของ บริษัท พีลาทัส มารีน จำกัด (มหาชน)
3.2 ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลที่เกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถ ระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม ซึ่งรวมถึงแต่ไม่จำกัดเพียง ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ IP Address รูปภาพ เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง ข้อมูลทาง พันธุกรรม ข้อมูลคุกกี้ (Cookies) และ/หรือ ข้อมูลทางชีวภาพ (Biometiric data)
3.3 เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถ ระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
3.4 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งมี อำนาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
3.5 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่ง ดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูล ส่วนบุคคล
3.6 การประมวลผล (Processing) หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล ซึ่งรวมถึงแต่ไม่ จำกัดเพียง การเก็บรวบรวม บันทึก จัดระบบ ทำโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน ใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทำลาย
4. วัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
บริษัทฯ อาจทำการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลเพื่อวัตถุประสงค์ดังต่อไปนี้
4.1 เพื่อการเข้าทำสัญญา หรือปฏิบัติหน้าที่ตามสัญญาระหว่างบริษัทฯ กับเจ้าของข้อมูล หรือปฏิบัติ หน้าที่ตามสัญญาระหว่างบริษัทฯ กับบุคคลภายนอกเพื่อประโยชน์ของเจ้าของข้อมูล
4.2 เพื่อพัฒนาและปรับปรุงสินค้า ผลิตภัณฑ์ และบริการของบริษัทฯ ให้ตอบสนองต่อความต้องการ ของเจ้าของข้อมูลมากยิ่งขึ้น
4.3 เพื่อการสำรวจความคิดเห็น การวิเคราะห์ การทำวิจัย และจัดทำข้อมูลทางสถิติ เพื่อใช้ทาง การตลาด หรือการพัฒนาและปรับปรุงการดำเนินกิจการของบริษัทฯ
4.4 เพื่อประโยชน์ในการบริหารจัดการงนหรือดำเนินงานภายในของบริษัทฯ ที่จำเป็นภายใต้ ประโยชน์โดยชอบด้วยกฎหมาย
4.5 เพื่อการตรวจสอบ กำกับดูแล และรักษาความปลอดภัยบริเวณอาคารหรือสถานที่ของบริษัทฯ
4.6 เพื่อการปฏิบัติตามกฎหมายที่เกี่ยวข้องกับการดำเนินงานของบริษัทฯ เช่น การหักภาษี ณ ที่จ่าย
4.7 เพื่อให้ข้อมูลแก่หน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมายตามที่หน่วยงานของรัฐร้องขอ เช่น สำนักงานตำรวจแห่งชาติ สำนักงานป้องกันและปราบปรามการฟอกเงิน กรมสรรพากร ศาล
4.8 เพื่อวัตถุประสงค์อื่นอันชอบด้วยกฎหมาย
5. การเก็บรวบรวมข้อมูลส่วนบุคคล
5.1 แหล่งที่มาของข้อมูลส่วนบุคคล บริษัทฯ อาจได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลโดยมีที่มาดังต่อไปนี้
5.1.1 เก็บรวบรวมโดยตรงจากเจ้าของข้อมูลด้วยวิธีการซึ่งรวมถึงแต่ไม่จำกัดเพียงการกรอก ข้อมูลโดยเจ้าของข้อมูลผ่านแบบฟอร์มในรูปแบบกระดาชหรือรูปแบบอิเล็กทรอนิกส์
5.1.2 เก็บรวบรวมจากแหล่งอื่นด้วยวิธีการซึ่งรวมถึงแต่ไม่จำกัดเพียงการได้รับจาก บุคคลภายนอกภายใต้ความยินยอมที่เจ้าของข้อมูลให้ไว้ต่อผู้เปิดเผยข้อมูล หรือจากผู้ ประมวลผลข้อมูลที่บริษัทฯ มีคำสั่งให้ทำการเก็บรวบรวมแทนหรือในนามของบริษัทฯ
5.2 หลักเกณฑ์การเก็บรวบรวมข้อมูลส่วนบุคคล บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลไว้ โดยบริษัทฯ จะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลก่อนหรือในขณะเก็บรวบรวมข้อมูล ส่วนบุคคล เว้นแต่ในกรณีดังต่อไปนี้ บริษัท ฯ สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้โดยไม่ต้อง ขอความยินยอม
5.2.1 เพื่อให้บรรจุวัตถุประสงค์เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อ ประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ โดยบริษัทฯ จะจัดให้มี มาตรการป้องกันเหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูล
5.2.2 เพื่อป้องกันหรีอระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
5.2.3 เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลเป็นคู่สัญญาหรือเพื่อดำเนินการ ตามคำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญา
5.2.4 เป็นการจำเป็นเพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติ หน้าที่ในการใช้อำนาจรัฐที่ได้มอบหมายให้แก่บริษัทฯ
5.2.5 เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ หรือของบุคคลหรือนิติ บุคคลอื่น เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วน บุคคลของเจ้าของข้อมูล
5.2.6 เพื่อปฏิบัติตามกฎหมาย เช่น พระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิต พ.ศ. 2559 ประมวลกฎหมายแพ่งและพาณิชย์ หรือประมวลกฎหมายอาญา เป็นต้น
6. การใช้และการเปิดเผยข้อมูลส่วนบุคคล
บริษัทฯ อาจใช้ ประมวลผล และ/หรือ เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลภายใต้ วัตถุประสงค์ตามข้อ 4. และอาจเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นให้แก่หน่วยงาน และ/หรือ บุคคลภายนอกภายใต้ความยินยอมของเจ้าของข้อมูลส่วนบุคคล หรือภายใต้ขอบเขตที่กฎหมาย อนุญาตให้เปิดเผยได้ โดยบุคคลหรือหน่วยงานที่เป็นผู้รับข้อมูลดังกล่าวจะเก็บรวบรวม ใช้ และ/ หรือ ประมวลผลข้อมูลดังกล่าวภายใต้ขอบเขตที่เจ้าของข้อมูลได้ให้ความยินยอมไว้ และ/หรือ ภายใต้ขอบเขตของกฎหมายเช่นเดียวกัน ทั้งนี้ ข้อมูลส่วนบุคคลของเจ้าของข้อมูลอาจถูกเปิดเผยให้แก่หน่วยงานหรือบุคคล ซึ่งรวมถึงแต่ไม่ จำกัดเพียงหน่วยงานดังต่อไปนี้
6.1 บริษัท พีลาทัส มารีน จำกัด (มหาชน) และบริษัทย่อย รวมถึงกรรมการ ผู้บริหาร ที่ปรึกษา และ/หรือ พนักงานของบริษัทฯ
6.2 คู่สัญญา ผู้ให้บริการ และพันธมิตรทางธุรกิจของบริษัทฯ ที่มีความสัมพันธ์หรือสัญญากับ บริษัทฯ
6.3 ผู้สอบบัญชี
6.4 หน่วยงานของรัฐซึ่งมีอำนาจหน้าที่ตามกฎหมาย เช่น สำนักงานป้องกันและปราบปรามการ ฟอกเงิน สำนักงานตำรวจแห่งชาติ กรมสรรพากร กรมบังคับคดี ศาล
6.5 หน่วยงานหรือองค์กรอื่นใดที่เกี่ยวข้องหรืออาจเกี่ยวกับการดำเนินธุรกิจของบริษัทฯ เช่น ธนาคาร สถาบันทางการเงิน ผู้รับประกันภัย โรงพยาบาล
7. กำหนดระยะเวลาในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
บริษัทฯ อาจเก็บรวบรวม เปิดเผย และ/หรือ ประมวลผลข้อมูลส่วนบุคคลตามระยะเวลาที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย
8. สิทธิของเจ้าของข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิตามที่กฎหมายกำหนด ดังต่อไปนี้
8.1 ขอเข้าถึงข้อมูล ขอรับสำเนา หรือขอให้เปิดเผยการได้มาชื่งข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตน
8.2 ขอให้โอนข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตน
8.3 ขอให้ดำเนินการแก้ไข เพิ่มเติม เปลี่ยนแปลง ให้ข้อมูลส่วนบุคคลนั้นถูกต้องสมบูรณ์เป็น ปัจจุบัน
8.4 คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนเมื่อใดก็ได้
8.5 ขอให้ลบหรือทำลายหรือทำให้ไม่สามารถระบุตัวบุคคลที่เกี่ยวข้องกับตน
8.6 ขอให้ระงับการใช้ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตน
8.7 เพิกถอนความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยซึ่งข้อมูลส่วนบุคคลที่ เกี่ยวข้องกับตน ทั้งนี้ การใช้สิทธิดังกล่าวข้างต้น เจ้าของข้อมูลต้องคำนึงผล กระทบที่อาจเกิดขึ้นกับบริการของ บริษัทฯ อย่างไรก็ตาม บริษัทฯ อาจปฏิเสธคำขอของเจ้าของข้อมูลได้ภายใต้ขอบเขตที่กฎหมาย กำหนด
9. มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัทฯ กำหนดให้มีมาตการรักษาความมั่นคงปลอดภัยที่เป็นมาตรฐานทั้งในด้านเทคในโลยีและ วิธีปฏิบัติเพื่อควบคุมและป้องกันการสูญหาย การรั่วไหล การโจรกรรม การเข้าถึง การใช้ การแก้ไข การเปลี่ยนแปลง กรเปิดเผย การทำลาย และการโอนข้อมูลส่วนบุคคล โดยไม่มีอำนาจหรือขัดต่อ บทบัญญัติของกฎหมาย ดังต่อไปนี้
9.1 บริษัทฯ จะกำหนดสิทธิในการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล รวมถึงการแสดงหรือยืนยันตัวบุคคล ผู้เข้าถึง หรือใช้ หรือประมวลผลข้อมูลส่วนบุคคล
9.2 ในกรณีที่บริษัทฯ ในฐานะผู้ควบคุมข้อมูล ได้ว่าจ้างบุคคลภายนอกในฐานะผู้ประมวลผล ข้อมูลให้ทำการประมวลผลข้อมูลส่วนบุคคลในนามของบริษัทฯ บริษัทฯ จะจัดให้คู่สัญญาทำ สัญญาการประมวลผลข้อมูลส่วนบุคคลเพื่อกำหนดขอบเขต วัตถุประสงค์ หน้าที่ และความ รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับนโยบายฉบับนี้ และ บทบัญญัติของกฎหมาย
9.3 ในการส่ง หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บ บนฐานข้อมูลในระบบอื่นใด ซึ่งผู้ให้บริการรับโอนข้อมูลหรือบริการเก็บรักษาข้อมูลอยู่ ต่างประเทศ ประเทศปลายทางที่เก็บรักษาข้อมูลต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่ เทียบเท่าหรือดีกว่ามาตรการตามนโยบายนี้
9.4 บริษัทฯ มีการดำเนินการสอบทานและประเมินประสิทธิภาพของระบบรักษาความปลอดภัย ของข้อมูลส่วนบุคคลโดยหน่วยงานตรวจสอบภายใน
9.5 ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความมั่นคงปลอดภัยของบริษัทฯ จนเป็นเหตุให้มีการ ละเมิดข้อมูลส่วนบุคคล หรือข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ บริษัทฯ จะดำเนินการแจ้ง เจ้าของข้อมูลให้ทราบโดยเร็ว รวมทั้งแจ้งแผนการเยียวยาความเสียหายจากการละเมิด หรือ การรั่วไหลของข้อมูลส่วนบุคคลสู่สาธารณะ ในกรณีที่เกิดจากความบกพร่องของบริษัทฯ ทั้งนี้ บริษัทฯ จะไม่รับผิดชอบในกรณีความเสียหายใด ๆ อันเกิดจากการใช้หรือการเปิดเผยข้อมูล ส่วนบุคคลต่อบุคคลที่สามโดยการกระทำของเจ้าของข้อมูลหรือบุคคลรึ่งได้รับความยินยอม จากเจ้าของข้อมูล
10. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
บริษัทฯ ได้มีการดำเนินการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดย แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) และหน่วยงานซึ่งทำ หน้าที่ตรวจสอบและกำกับดูแลการดำเนินกิจการของบริษัทฯให้เป็นไปตามนโยบายฉบับนี้และ ตามที่กฎหมายกำหนด ประกอบด้วยหน่วยงานดังนี้
10.1 หน่วยงานเทคโนโลยีสารสนเทศ
10.2 หน่วยงานกฎหมาย
11. บทกำหนดโทษ
บุคคลใดซึ่งละเลยหรือละเว้นไม่ปฏิบัติ หรือปฏิบัติการใด ๆ อันเป็นการฝ่าฝืนต่อนโยบายคุ้มครอง ข้อมูลส่วนบุคคลฉบับนี้ รวมถึงวิธีปฏิบัติที่เกี่ยวข้อง และบทบัญญัติของกฎหมายเกี่ยวกับการ คุ้มครองข้อมูลส่วนบุคคล อาจมีความผิดและได้รับการลงโทษทางวินัยตามข้อบังคับการทำงาน ของบริษัทฯ หรือตามที่บริษัทฯ พิจารณาเห็นสมควรแก่กรณี รวมถึงการดำเนินคดีหรือการรับโทษ ตามที่กฎหมายกำหนด
12. การทบทวนนโยบาย
บริษัทฯ อาจมีการทบทวนหรือปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ตาม โอกาส เพื่อให้เหมาะสมและสอดคล้องต่อบทบัญญัติของกฎหมายที่เกี่ยวข้อง รวมถึงเพื่อให้เกิดผล ในทางปฏิบัติที่ดียิ่งขึ้น
นโยบายฉบับนี้ให้มีผลบังคับใช้ตั้งแต่วันที่ 1 สิงหาคม 2565 เป็นต้นไป