ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งจะมีผลบังคับใช้ ทาง บริษัท สยามอินเตอร์ การประมูล จำกัด จึงได้จัดทำ นโยบายการคุ้มครองข้อมูลส่วนบุคคล ขึ้น เพื่อให้สอดคล้องและปฏิบัติ ตามพระราชบัญญัติ ดังกล่าว ในแนวทางที่คำนึงถึง ผู้ถือหุ้น พนักงาน และบุคคลต่าง ๆ ที่เกี่ยวข้องกับ บริษัท สยามอินเตอร์ การประมูล จำกัด และเพื่อให้เกิดความมั่นใจว่าบุคคลดังกล่าวจะได้รับความคุ้มครองสิทธิอย่างครบถ้วนตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
คณะกรรมการ บริษัท สยามอินเตอร์ การประมูล จำกัด จึงอนุมัติให้ใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคล ( Privacy Policy ) เพื่อให้ บริษัท มีหลักเกณฑ์ มาตรการในการ กำกับดูแล และการบริหารจัดการข้อมูลส่วนบุคคลอย่างชัดเจนและเหมาะสม
ดังรายละเอียดต่อไปนี้
1. ขอบเขตการบังคับใช้
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ใช้บังคับกับ บริษัท สยามอินเตอร์ การประมูล จำกัด พนักงานของบริษัท และบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของ บริษัท สยามอินเตอร์ การประมูล จำกัด2. คํานิยาม
2.1 การประมวลผล (Processing) หมายถึง การดําเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม บันทึก จัดระบบ ทําโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน ใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทําลาย
2.2 ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลที่เกี่ยวกับบุคคลธรรมดา ซึ่งทําให้สามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ IP Address รูปภาพ เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง ข้อมูลทางพันธุกรรม ข้อมูลทางชีวภาพ (Biometric data)
2.3 เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม
2.4 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลธรรมดาหรือนิติบุคคล ซึ่งมี อํานาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
2.5 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่ง ดําเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
2.6 บริษัท หมายถึง บริษัท สยามอินเตอร์ การประมูล จำกัด และบริษัทย่อยตามงบการเงินรวมของ บริษัท สยามอินเตอร์ การประมูล จำกัด
3. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการกํากับดูแลการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Governance)
3.1 บริษัท สยามอินเตอร์ การประมูล จำกัด จะจัดให้มีโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล เพื่อกําหนดวิธีการและมาตรการที่เหมาะสมในการปฏิบัติตามกฎหมาย ดังนี้
(1) กําหนดให้มีโครงสร้างองค์กร (Organizational Structure) รวมทั้งกําหนดบทบาท และความรับผิดชอบของหน่วยงานและผู้ปฏิบัติงานที่เกี่ยวข้องให้ชัดเจน เพื่อสร้างกลไกการกํากับดูแล การควบคุม ความรับผิดชอบ การปฏิบัติงาน การบังคับใช้ และการติดตามมาตรการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
(2) แต่งตั้ง คณะเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคล ของบริษัท โดยมีบทบาทและหน้าที่ตามที่ กําหนดในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ บริษัท สยามอินเตอร์ การประมูล จำกัด
3.2 บริษัท จะจัดทํานโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
3.3 บริษัท จะจัดให้มีกระบวนการบริหารการปฏิบัติตามนโยบาย (Policy Management Process)เพื่อควบคุมดูแลให้มีการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท อย่างต่อเนื่อง
3.4 บริษัทจะดําเนินการฝึกอบรมพนักงานของบริษัท อย่างสมํ่าเสมอ เพื่อให้พนักงาน ตระหนักถึงความสําคัญของการคุ้มครองข้อมูลส่วนบุคคล และทําให้มั่นใจได้ว่าพนักงานของบริษัท ที่เกี่ยวข้องทุกคนผ่านการฝึกอบรม และมีความรู้ความเข้าใจในการคุ้มครองข้อมูลส่วนบุคคล และปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท อย่างเคร่งครัด และมีประสิทธิภาพ
4. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)
4.1 บริษัท จะประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย เป็นธรรม โปร่งใส และ คํานึงถึงความถูกต้องของข้อมูลส่วนบุคคล ทั้งนี้ การกําหนดขอบเขตวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคล และระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล ให้ทําได้เท่าที่จําเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายและแนวทางการดําเนินธุรกิจ ของบริษัท อีกทั้งบริษัท จะดําเนินการรักษาความลับ ความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูลส่วนบุคคลอย่างสูงสุด ตามกฏหมาย
4.2 บริษัท จะจัดให้มีกระบวนการและการควบคุมเพื่อบริหารจัดการข้อมูลส่วนบุคคลในทุกขั้นตอนให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
4.3 บริษัท จะจัดทําและรักษาบันทึกการประมวลผลข้อมูลส่วนบุคคล (Records of Processing: RoP) สําหรับบันทึกรายการและกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ให้สอดคล้องกับกฎหมาย รวมทั้งจะปรับปรุงบันทึกการประมวลผลข้อมูลส่วนบุคคลเมื่อมี การเปลี่ยนแปลง รายการหรือกิจกรรมที่เกี่ยวข้อง
4.4 บริษัท จะจัดให้มีกระบวนการที่ชัดเจนเพื่อให้มั่นใจได้ว่าการแจ้งวัตถุประสงค์การเก็บรวบรวมและรายละเอียดการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices) และการขอความยินยอม จากเจ้าของข้อมูลส่วนบุคคลสอดคล้องกับกฎหมาย รวมทั้งจัดให้มีมาตรการดูแลและตรวจสอบ ในเรื่องดังกล่าวอย่างสม่ำเสมอ และต่อเนื่อง
4.5 บริษัท จะจัดให้มีกลไกการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล รวมทั้งจัดให้มีกลไกการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
4.6 ในกรณีที่อาจจำเป็น ต้อง ส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล บริษัท จะจัดทําข้อตกลงกับผู้ที่รับหรือ ใช้ข้อมูลส่วนบุคคลนั้นเพื่อ กําหนดสิทธิ และหน้าที่ให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ บริษัท อย่างเคร่งครัด
4.7 ในกรณีที่ บริษัท ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัท จะปฏิบัติให้สอดคล้องกับกฎหมาย อย่างเคร่งครัด
4.8 บริษัท จะทําลายข้อมูลส่วนบุคคลเมื่อครบกําหนดระยะเวลา โดยปฏิบัติให้สอดคล้องกับกฎหมายและแนวทางการดําเนินธุรกิจของบริษัท
4.9 บริษัท จะประเมินความเสี่ยงและจัดทํามาตรการเพื่อบรรเทาความเสี่ยง และลดผลกระทบที่จะเกิดขึ้นกับการประมวลผลข้อมูลส่วนบุคคล
5. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights) บริษัทจะจัดให้มีมาตรการ ช่องทาง และวิธีการเพื่อให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิของตนได้ ตามที่กฎหมายกําหนด รวมทั้งจะดําเนินการบันทึก และประเมินผลการตอบสนองต่อคําขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
6. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security)
6.1 บริษัท จะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ รวมทั้ง ดําเนินการป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลส่วนบุคคลและการนําข้อมูลส่วนบุคคลไปใช้ โดย ไม่ได้รับอนุญาต และ โดย มิชอบด้วยกฎหมาย
6.2 บริษัท จะจัดให้มีนโยบายการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (Privacy Incident Management Policy) และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ (Incident Response Program) เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้อย่างทันท่วงที
6.3 บริษัท จะจัดให้มีกระบวนการแจ้ง เจ้าของข้อมูลส่วนบุคคล รวมถึงเจ้าพนักงานของรัฐ ผู้ควบคุมข้อมูลส่วนบุคคล (ในกรณีที่ บริษัท เป็นผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วมกัน) และบุคคลอื่น ให้สอดคล้องกับกฎหมาย
7. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการกํากับให้เกิดการปฏิบัติตามมาตรการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Compliance)
7.1 บริษัท จะจัดให้มีกระบวนการติดตามในกรณีที่กฎหมายเปลี่ยนแปลงไป และปรับปรุงมาตรการ คุ้มครองข้อมูลส่วนบุคคลให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ
7.2 บริษัท จะจัดให้มีการทบทวนและปรับปรุงนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลเป็นประจํา เพื่อให้ทันสมัยสอดคล้องกับกฎหมายและสถานการณ์ในแต่ละช่วงเวลา หรือ มีการเปลี่ยนแปลงของกฏหมายที่เกี่ยวข้อง
8. บทบาท หน้าที่ และความรับผิดชอบ
8.1 คณะกรรมการบริษัท มีบทบาทหน้าที่ และความรับผิดชอบดังต่อไปนี้
(1) กํากับให้เกิดโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล และการควบคุมภายในที่เกี่ยวข้องของบริษัท เพื่อให้เกิดการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
(2) กํากับดูแลและสนับสนุนให้ บริษัท ดําเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพและสอดคล้องกับกฎหมาย
8.2 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Privacy Committee) ให้คณะกรรมการบริหารจัดการความเสี่ยงของ บริษัท (Risk Management Committee) ทําหน้าที่เป็น คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยมีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
(1) จัดให้มีโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคลและการควบคุมภายในที่เกี่ยวข้อง รวมถึง นโยบายการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (Privacy Incident Management Policy) และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ (Incident Response Program) เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้อง กับข้อมูลส่วนบุคคลได้อย่างทันท่วงที
(2) ประเมินประสิทธิภาพการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท และรายงานผลการประเมินดังกล่าวให้คณะกรรมการบริษัททราบเป็นประจําอย่างน้อย 1 ครั้งต่อปี รวมถึงควบคุมดูแลให้มั่นใจได้ว่าความเสี่ยงต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้รับ การจัดการและมีแนวทางการบริหารความเสี่ยงที่เหมาะสม และสอดคล้องกับ กฎหมายที่เกี่ยวข้อง
(3) กําหนดและทบทวนมาตรฐานการปฏิบัติงาน (Standards) และแนวปฏิบัติ (Guidelines)เพื่อให้การดําเนินงานของบริษัท สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
(4) แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ของบริษัท
8.3 ผู้บริหาร มีบทบาท หน้าที่ และความรับผิดชอบในการติดตามควบคุมให้หน่วยงานที่ดูแลปฏิบัติตาม นโยบายการคุ้มครองข้อมูลส่วนบุคคลของ บริษัท และส่งเสริมการสร้างความตระหนักรู้ ความเข้าใจในการปฏิบัติ ให้เกิดขึ้น กับพนักงานของบริษัท อย่างทั่วถึง
8.4 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท (DPO) มีบทบาท หน้าที่ และความรับผิดชอบตามที่กฎหมายกําหนด ซึ่งรวมถึงหน้าที่ดังต่อไปนี้
(1) รายงานสถานะการคุ้มครองข้อมูลส่วนบุคคลให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบอย่างสมํ่าเสมอ และจัดทําข้อเสนอแนะเพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของบริษัท ให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ
(2) ให้คําแนะนําพนักงานของบริษัท เกี่ยวกับการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
(3) ตรวจสอบการดําเนินงานของหน่วยงานในของบริษัท ให้เป็นไปตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
8.5 พนักงานของ บริษัท มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
(1) ปฏิบัติให้สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
(2) รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ผู้บังคับบัญชาทราบ
9. โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
ผู้บริหาร และพนักงาน ของบริษัท ต้องพึงรับทราบว่า การไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท (ซึ่งดำเนินการตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562) จะมีความผิดและถูกลงโทษทางวินัย รวมทั้งอาจได้รับโทษตามที่กฎหมายกําหนด
นโยบายการคุ้มครองข้อมูลส่วนบุคคลของ บริษัท สยามอินเตอร์ การประมูล จำกัด ฉบับนี้ มีผลใช้บังคับตั้งแต่วันที่ 17 มีนาคม พ.ศ.2565
ตามมติ คณะกรรมการ บริษัท สยามอินเตอร์ การประมูล จำกัด วันที่ 17 มีนาคม พ.ศ. 2565