นโยบายความเป็นส่วนตัว

Privacy policy

นโยบายคุ้มครองข้อมูลส่วนบุคคล PDPA

นโยบายคุ้มครองข้อมูลส่วนบุคคล
(Personal Data Protection Policy)

หลักการและวัตถุประสงค์

บริษัท ควิก อีอาร์พี จำกัด (“บริษัทฯ”) มีความมุ่งมั่นในการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทฯ จึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) เพื่อให้การปฏิบัติงานของบริษัทฯ เป็นไปตามกฎหมาย และมาตรฐานสากลในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงกำหนดหลักเกณฑ์ในการให้ความคุ้มครอง การเก็บรวบรวม การใช้ รวมไปถึงการเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตามกฎหมายที่เกี่ยวข้อง

ขอบเขตการบังคับใช้

นโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ฉบับนี้ มีขอบเขตการบังคับใช้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลทั้งหมดที่ดำเนินการโดยบริษัทฯ รวมถึงบุคคลใด ๆ ซึ่งล่วงรู้ข้อมูลส่วนบุคคลเนื่องจากเกี่ยวข้องกับการดำเนินงานของบริษัทฯ ซึ่งจะต้องปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และตามกรอบที่กฎหมายกำหนด

สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ ให้บริษัทฯ สามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นได้ต่อไปตามวัตถุประสงค์เดิม โดยการเปิดเผยและการดำเนินการอื่นที่ไม่ใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลข้างต้นให้ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

คำจำกัดความ

“นโยบายคุ้มครองข้อมูลส่วนบุคคล” (Personal Data Protection Policy) หมายความว่า นโยบายที่บริษัทฯ จัดทำเพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงการประมวลผลข้อมูลของบริษัท และรายละเอียดต่าง ๆ ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดไว้

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” (Sensitive data) หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

“การประมวลผล” หมายความว่า การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล

“เจ้าของข้อมูลส่วนบุคคล” (Data Subject) หมายความว่า บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล

“ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือนิติบุคคลอื่นซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลที่ดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

“คุกกี้” (Cookies) หมายความว่า ไฟล์คอมพิวเตอร์ขนาดเล็ก ที่จะเก็บข้อมูลส่วนบุคคลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของเจ้าของข้อมูลส่วนบุคคล เพื่อความสะดวกและรวดเร็วในการติดต่อสื่อสารซึ่งจะมีผลในขณะที่เข้าใช้งานระบบเว็บไซต์เท่านั้น

1. บทบาทและหน้าที่ความรับผิดชอบ

นโยบายฉบับนี้ครอบคลุมถึงบทบาทและหน้าที่ของบุคคลดังต่อไปนี้

1. บทบาทและหน้าที่ความรับผิดชอบของบริษัทฯ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในกรณีที่บริษัทฯ เป็นผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล
2. บทบาทและหน้าที่ความรับผิดชอบของผู้บริหาร เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พนักงาน และลูกจ้างของบริษัทฯ

5. การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล

บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ข้อมูลเฉพาะบุคคล ข้อมูลที่เกี่ยวข้องกับชีวิตส่วนตัว หรือความสนใจส่วนบุคคล ข้อมูลทางการเงิน ข้อมูลส่วนบุคคลที่มีความอ่อนไหว โดยมีแหล่งที่มา และหลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล ดังต่อไปนี้

แหล่งที่มาของข้อมูลส่วนบุคคล บริษัทฯ อาจได้รับข้อมูลส่วนบุคคลจาก 2 ช่องทาง ดังนี้

1. เก็บรวบรวมโดยตรงจากเจ้าของข้อมูลส่วนบุคคล เช่น การเก็บข้อมูลส่วนบุคคลจากการกรอกข้อมูลส่วนบุคคลผ่านแบบฟอร์มการสมัครใช้บริการทั้งในรูปแบบกระดาษและรูปแบบออนไลน์ การตอบแบบสอบถาม (Survey) ของบริษัทฯ หรือการเข้าใช้งานระบบเว็บไซต์ของบริษัทฯ ผ่านคุกกี้ (Cookies)
2. เก็บรวบรวมจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เช่น การสืบค้นข้อมูลส่วนบุคคลผ่านระบบเว็บไซต์ หรือการสอบถามจากบุคคลที่สาม โดยบริษัทฯ จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งดังกล่าว รวมถึงจะดำเนินการขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอมหรือแจ้งเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ทั้งนี้ บริษัทฯ อาจทำการเก็บรวบรวมข้อมูลส่วนบุคคล เช่น

ข้อมูลเฉพาะบุคคล : ชื่อ วันเดือนปีเกิด สัญชาติ หมายเลขบัตรประจำตัวประชาชนหรือหมายเลขหนังสือเดินทาง หรือเอกสารราชการอื่น ๆ ที่สามารถระบุตัวตนได้
ข้อมูลสำหรับการติดต่อ : ที่อยู่ อีเมล์ หมายเลขโทรศัพท์ หมายเลขโทรสาร
ข้อมูลประวัติการทำงาน : สถานะวิชาชีพ ตำแหน่งงาน
ข้อมูลที่เกี่ยวเนื่องกับการใช้งานเว็บไซต์ : Username และ password สำหรับใช้การบริการผ่านออนไลน์และแอพพลิเคชั่น ข้อมูล IP address
ข้อมูลคุกกี้ (Cookies)
ข้อมูลเกี่ยวกับการสำรวจทางการตลาด : ข้อมูลวิเคราะห์สถิติทางการตลาดของเจ้าของข้อมูล
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
ข้อมูลอุปกรณ์ และข้อมูลตำแหน่งของอุปกรณ์ เช่น ระบบจีพีเอส
ข้อมูลภาพวิดีทัศน์กล้องวงจรปิด
บทสนทนา และการสื่อสารทางโทรศัพท์ หรืออุปกรณ์อิเล็กทรอนิกส์

2). หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล

1. บริษัทฯ จะเก็บข้อมูลส่วนบุคคลที่จำเป็นต่อการดำเนินงานของบริษัทฯ เท่านั้น ทั้งนี้ บริษัทฯ อาจมีวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่แตกต่างกันไปตามแต่กรณี เช่น

เพื่อการเข้าทำสัญญาและปฏิบัติตามสัญญาระหว่างบริษัทฯ กับเจ้าของข้อมูลส่วนบุคคล
เพื่อยืนยันตัวตนหรือตรวจสอบบุคคลก่อนจะให้บริการหรือเข้าทำสัญญากับบริษัทฯ
เพื่อตอบคำถามและให้ความช่วยเหลือแก่ลูกค้า
เพื่อพัฒนาและปรับปรุงผลิตภัณฑ์ของบริษัทฯ ให้ตอบสนองต่อความต้องการของลูกค้ามากยิ่งขึ้น
เพื่อให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ การบริการ หรือประชาสัมพันธ์ทางการตลาดผ่านทางช่องทางการติดต่อที่ได้รับจากลูกค้า
เพื่อการปฏิบัติตามกฎหมายที่เกี่ยวข้องกับการดำเนินงานของบริษัทฯ อาทิ การจัดเก็บข้อมูลเพื่อใช้ในการหักภาษี ณ ที่จ่าย การตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า ซึ่งเป็นส่วนหนึ่งของการปฏิบัติตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน
เพื่อให้ข้อมูลแก่หน่วยงานราชการตามที่กฎหมายกำหนด หรือ ตามที่หน่วยงานของรัฐร้องขอ อาทิ สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สำนักงานตำรวจแห่งชาติ หรือ สำนักงานป้องกันและปราบปรามการฟอกเงิน
เพื่อวัตถุประสงค์ในการตรวจสอบต่าง ๆ การวิเคราะห์และจัดทำเอกสารตามคำร้องขอของหน่วยงาน หรือ องค์กรอื่นใดที่เกี่ยวข้องหรืออาจเกี่ยวกับการดำเนินธุรกิจของ บริษัทฯ อาทิ ธนาคารแห่งประเทศไทย
เพื่อประโยชน์ในการบริหารจัดการภายในของบริษัทฯ เช่น เพื่อการจ่ายเงินเดือนและค่าตอบแทนต่าง ๆ แก่พนักงาน ลูกจ้าง และผู้ฝึกหัดงานของบริษัทฯ เพื่อการเข้าทำสัญญาจ้างแรงงานกับบริษัท เพื่อการบริหารจัดการบุคลากรภายในของบริษัท และการมอบสวัสดิการแก่พนักงาน ลูกจ้างของบริษัทฯ

1. บริษัทฯ จะเก็บข้อมูลส่วนบุคคลที่จำเป็นต่อการดำเนินงานของบริษัทฯ เท่านั้น ทั้งนี้ บริษัทฯ อาจมีวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่แตกต่างกันไปตามแต่กรณี เช่น
2. บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล โดยบริษัทฯ จะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ในกรณีดังต่อไปนี้ บริษัทฯ สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม

เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ โดยบริษัทฯ จะจัดให้มีมาตรการป้องกันเหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ บริษัทฯ จะดำเนินการให้เป็นไปตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดด้วย
เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา
เป็นการจำเป็นเพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบหมายให้แก่บริษัทฯ
เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ หรือของบุคคลหรือนิติบุคคลอื่น เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของ เจ้าของข้อมูลส่วนบุคคล
เป็นการปฏิบัติตามกฎหมายของบริษัทฯ

1. การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว บริษัทฯ จะต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อน หรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวดังกล่าว ตามหลักเกณฑ์ที่บริษัทฯ กำหนดโดยไม่ขัดต่อกฎหมาย

6. การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล

การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ มีวัตถุประสงค์และหลักการดำเนินการที่สอดคล้องตามข้อ 2) ของข้อ 5 ว่าด้วยหลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล โดยบริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นให้แก่หน่วยงานหรือบุคคลภายนอกโดยได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลนั้น เว้นแต่จะได้กระทำภายในกรอบที่กฎหมายให้อำนาจไว้ ทั้งนี้ ข้อมูลส่วนบุคคลอาจถูกเปิดเผยให้แก่บุคคลภายนอก องค์กร หรือหน่วยงานของรัฐ ดังต่อไปนี้

1. บริษัทในเครือ หรือบริษัทในกลุ่ม
2. คู่สัญญา ผู้ให้บริการ และพันธมิตรทางธุรกิจของบริษัทฯ เช่น บริษัทในกลุ่มธุรกิจประกันภัย
3. ผู้แทนจำหน่าย
4. หน่วยงานซึ่งดำเนินงานด้านข้อมูลเครดิต
5. ธนาคาร
6. หน่วยงานของรัฐซึ่งมีอำนาจหน้าที่ตามกฎหมาย เช่น สำนักงานป้องกันและปราบปรามการฟอกเงิน สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สำนักงานคณะกรรมการป้องกันและปราบปรามยาเสพติด สำนักงานประกันสังคม กรมสรรพากร กรมบังคับคดี ศาล
7. หน่วยงาน หรือ องค์กรอื่นใดที่เกี่ยวข้องหรืออาจเกี่ยวกับการดำเนินธุรกิจของบริษัท ฯ อาทิ ธนาคารแห่งประเทศไทย

7. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาดังต่อไปนี้

1. ตามระยะเวลาที่กฎหมายกำหนดเกี่ยวกับการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ เช่น พระราชบัญญัติการบัญชี พ.ศ. 2543 พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ประมวลรัษฎากร
2. ในกรณีที่กฎหมายไม่ได้กำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ บริษัทฯ จะกำหนดระยะเวลาในการจัดเก็บตามความจำเป็นที่เหมาะสมในการปฏิบัติงานของ บริษัทฯ

เมื่อพ้นระยะเวลาการเก็บรักษาดังกล่าว บริษัทฯ จะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้

8. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

ในกรณีที่บริษัทฯ ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทฯ จะดำเนินการเพื่อให้มั่นใจว่าประเทศปลายทางดังกล่าวมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

อย่างไรก็ดี ในกรณีที่ประเทศปลายทางไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ การส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวจะต้องเป็นไปตามข้อยกเว้นตามหลักเกณฑ์ที่บริษัทฯ กำหนดโดยไม่ขัดต่อกฎหมาย

9. สิทธิของเจ้าของข้อมูลส่วนบุคคล

นโยบายนี้ได้จัดทำขึ้นเพื่อทำให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าสามารถใช้สิทธิดังต่อไปนี้ที่มีอยู่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้

1. สิทธิในการเพิกถอนความยินยอม (right to withdraw consent) : เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมกับ บริษัทฯ ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอยู่กับบริษัทฯ ทั้งนี้ การเพิกถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบ
2. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of access) : เจ้าของข้อมูลส่วนบุคคลมสีิทธิในการเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและขอให้บริษัทฯ ทำสำเนาข้อมูลส่วนบุคคลดังกล่าว รวมถึงขอให้ บริษัทฯ เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมต่อบริษัทฯ ให้แก่เจ้าของข้อมูลส่วนบุคคลได้
3. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification) : เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้บริษัทฯ แก้ไขข้อมูลส่วนบุคคล เพื่อให้ข้อมูลดังกล่าวเป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
4. สิทธิในการลบข้อมูลส่วนบุคคล (right to erasure): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้บริษัทฯ ทำการลบหรือทำลายข้อมูลของเจ้าของข้อมูลส่วนบุคคลได้ ทั้งนี้ ตามที่กำหนดไว้ในกฎหมาย
5. สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่กำหนดไว้ในกฎหมาย
6. สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability): เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทฯ ส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลให้ไว้กับบริษัทฯ ไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือ ตัวเจ้าของข้อมูลส่วนบุคคลเองด้วยเหตุบางประการได้ ทั้งนี้ ตามที่กำหนดไว้ในกฎหมาย
7. สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability): เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทฯ ส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลให้ไว้กับบริษัทฯ ไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือ ตัวเจ้าของข้อมูลส่วนบุคคลเองด้วยเหตุบางประการได้ ทั้งนี้ ตามที่กำหนดไว้ในกฎหมาย

อย่างไรก็ดี บริษัทฯ อาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของข้อมูลส่วนบุคคลได้ตามหลักเกณฑ์ที่บริษัทฯ กำหนด โดยไม่ขัดต่อกฎหมาย

บริษัทฯ จะจัดให้มีช่องทางเพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อมายังบริษัทฯ เพื่อดำเนินการยื่นคำร้องขอดำเนินการตามสิทธิข้างต้นได้ ในกรณีที่บริษัทฯ ปฏิเสธคำร้องขอข้างต้น บริษัทฯ จะแจ้งเหตุผลของการปฏิเสธให้เจ้าของข้อมูลส่วนบุคคลทราบ

เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่บริษัทฯ ผู้ประมวลผลข้อมูลส่วนบุคคล ลูกจ้าง หรือผู้รับจ้างของบริษัท ฝ่าฝืนไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือประกาศที่ออกตามพระราชบัญญัติดังกล่าว

10. การรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคล

บริษัทฯ กำหนดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยขัดต่อกฎหมาย ซึ่งสอดคล้องกับนโยบายและวิธีปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศของบริษัทฯ

11. ช่องทางการติดต่อ

รายละเอียดผู้ควบคุมข้อมูลส่วนบุคคล

ชื่อ : บริษัท ควิก อีอาร์พี จำกัด

สถานที่ติดต่อ : เลขที่ 5 หัวหมาก 9 แขวงหัวหมาก เขตบางกะปิ กรุงเทพมหานคร 10240

ช่องทางการติดต่อ : www.quickerpthailand.com

รายละเอียดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

ชื่อ : ณัชชาพัชร์ พรศิริภัสร์ (HR manager)

สถานที่ติดต่อ : เลขที่ 5 หัวหมาก 9 แขวงหัวหมาก เขตบางกะปิ กรุงเทพมหานคร 10240

ช่องทางการติดต่อ : DPO@quickerpthailand.com

ทั้งนี้ ให้มีผลบังคับใช้ตั้งแต่วันที่ 24 กรกฎาคม 2567 เป็นต้นไป

Privacy Notice ประกาศความเป็นส่วนตัว

ประกาศความเป็นส่วนตัว

บริษัท ควิก อีอาร์พี จำกัด (“บริษัท”) ได้ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคล และมุ่งมั่นที่จะรักษาความเป็นส่วนตัวของท่าน จึงได้จัดทำประกาศความเป็นส่วนตัวฉบับนี้ (“ประกาศ”) โดยประกาศความเป็นส่วนตัวนี้จะแจ้งให้ท่านทราบถึงรายละเอียดและวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และข้อมูลอื่นที่เกี่ยวกับท่าน ซึ่งรวมถึง ข้อมูลส่วนบุคคลที่บริษัททำการเก็บรวบรวม การเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก และสิทธิต่างๆ ของท่านตามกฎหมายในฐานะเจ้าของข้อมูลส่วนบุคคล ตลอดจนวิธีการติดต่อบริษัทในกรณีที่ท่านมีข้อสงสัย

ประกาศความเป็นส่วนตัวนี้ใช้บังคับกับท่าน และครอบคลุมถึงบุคคลภายนอกที่บริษัทมีปฏิสัมพันธ์ด้วยในการประกอบธุรกิจของบริษัท ซึ่งรวมถึงการดำเนินธุรกรรมทั้งในปัจจุบันและในอนาคต และบุคคลภายนอกผู้เป็นเจ้าของข้อมูลส่วนบุคคลที่บริษัทมีการเก็บรวบรวม ใช้ หรือเปิดเผยตามลักษณะการประกอบธุรกิจตามปกติของบริษัท ซึ่งบุคคลดังกล่าวรวมถึงแต่ไม่จำกัดเพียง

ลูกค้าบุคคลธรรมดา (ลูกค้าเดิม ลูกค้าปัจจุบันของบริษัท และบุคคลที่อาจเป็นลูกค้าในอนาคต ซึ่งเป็นบุคคลธรรมดา)
คู่ค้า พันธมิตรทางธุรกิจของบริษัทที่เป็นบุคคลธรรมดา และผู้ให้บริการซึ่งเป็นบุคคลธรรมดา
กรรมการ ผู้มีอำนาจกระทำการแทน ผู้ที่ได้รับมอบหมาย ผู้ติดต่อ ผู้ถือหุ้น พนักงาน ลูกจ้างหรือตัวแทนผู้รับมอบอำนาจให้สร้างความสัมพันธ์ทางธุรกิจและบุคคลอื่นใดที่มีฐานะอย่างเดียวกัน (รวมเรียกว่า “บุคคลที่เกี่ยวข้องกับนิติบุคคล”) ของลูกค้าของบริษัทที่เป็นนิติบุคคล รวมถึงผู้ประกอบการซึ่งเป็นนิติบุคคล คู่ค้าหรือผู้ให้บริการซึ่งเป็นนิติบุคคล รวมทั้งนิติบุคคลอื่นใดที่เสนอผลิตภัณฑ์และบริการให้แก่บริษัท หรือพันธมิตรทางธุรกิจของบริษัทที่เป็นนิติบุคคล (เช่น บริษัทในกลุ่มธุรกิจประกันภัย)
บุคคลผู้เข้าชมเว็บไซต์และผู้ใช้เว็บไซต์ของบริษัท รวมทั้งแอปพลิเคชันบนโทรศัพท์มือถือ อุปกรณ์คอมพิวเตอร์ และช่องทางการสื่อสารอื่นของบริษัท
บุคคลผู้เข้าเยี่ยมชมสถานที่ของบริษัท
บุคคลอื่นๆ เช่น ผู้รับประโยชน์ที่แท้จริง ผู้ค้ำประกัน ผู้ให้หลักประกัน พนักงาน และผู้แทนโดยชอบด้วยกฎหมายของลูกค้าองค์กรธุรกิจเดิมและปัจจุบัน รวมถึงบุคคลธรรมดาอื่นที่มีอำนาจในการกระทำการแทนลูกค้าองค์กรธุรกิจ ตลอดจนบุคคลอื่นใดที่มีฐานะอย่างเดียวกันของนิติบุคคลที่บริษัทเข้าไปมีธุรกรรมด้วย

โดยบุคคลในข้อ (1) ถึง (6) ต่อไปจะรวมเรียกว่า “ท่าน” หรือ “เจ้าของข้อมูลส่วนบุคคล”

บริษัทอาจทำการทบทวน เปลี่ยนแปลง แก้ไขเพิ่มเติม หรือปรับปรุงประกาศความเป็นส่วนตัวฉบับนี้เป็นครั้งคราว ในกรณีที่มีการเปลี่ยนแปลงแนวปฏิบัติหรือนโยบายของบริษัทที่เกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผย และ/หรือ โอนข้อมูลส่วนบุคคล และในกรณีที่มีการเปลี่ยนแปลงของกฎหมายที่บังคับใช้ รวมถึงข้อบังคับที่เกี่ยวข้อง โดยบริษัทจะแจ้งประกาศความเป็นส่วนตัวตามที่มีการปรับปรุงแก้ไขไว้ที่เว็ปไซต์ https://quickerpthailand.com/privacy-policy/ และจะมีผลใช้บังคับแทนประกาศความเป็นส่วนตัวก่อนหน้านี้ทั้งหมด ทั้งนี้ บริษัทขอความร่วมมือให้ท่านอ่านประกาศความเป็นส่วนตัวฉบับนี้โดยละเอียด และหมั่นทำการตรวจสอบว่าบริษัทได้ดำเนินการเปลี่ยนแปลงข้อมูลใดบ้างในประกาศฉบับนี้อย่างสม่ำเสมอ

ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
- ประเภทข้อมูลส่วนบุคคล

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่เกี่ยวกับบุคคลซึ่งระบุตัวบุคคลได้หรือสามารถทำให้ระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม หรือตามที่นิยามไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ใช้บังคับ

โดยบริษัทเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ซึ่งอาจรวมถึงข้อมูลส่วนบุคคลของท่าน ทั้งนี้ ขึ้นอยู่กับปฏิสัมพันธ์ที่บริษัทมีกับท่าน ซึ่งอาจรวมถึง แต่ไม่จำกัดเฉพาะข้อมูลส่วนบุคคลดังต่อไปนี้

ประเภทข้อมูลส่วนบุคคล	ตัวอย่างข้อมูลส่วนบุคคล
ข้อมูลทั่วไปเกี่ยวกับบุคคล /รายละเอียดส่วนบุคคล	– ชื่อตัว ชื่อกลาง นามสกุล นามแฝง หรือชื่อที่เคยใช้ รวมถึงลายมือชื่อ – อายุ วันเดือนปีเกิด เพศ ส่วนสูง น้ำหนัก สถานภาพการสมรส จำนวนบุตร สัญชาติ ประเทศที่เกิด ความเป็นพลเมืองและสถานภาพ รายละเอียดเกี่ยวกับการเกณฑ์ทหาร บันทึกเสียงสนทนา – ภาพถ่ายบนบัตรประจำตัวประชาชนหรือบัตรประจำตัวพนักงาน – ภาพเคลื่อนไหวที่ถ่ายหรือบันทึกไว้ ภาพวีดีทัศน์ กล้องวงจรปิด
ข้อมูลติดต่อ /รายละเอียดการติดต่อ	– ที่อยู่ตามทะเบียนบ้าน – ที่อยู่เพื่อจัดส่งไปรษณีย์ – ที่อยู่ที่ทำงาน – ชื่อผู้ใช้งานที่ใช้ในสื่อสังคมออนไลน์ – หมายเลขโทรศัพท์ หมายเลขโทรสาร – ที่อยู่อีเมล – รายละเอียดการติดต่อของบุคคลอ้างอิง รวมถึงข้อมูลอื่นใดที่มีความคล้ายคลึงกัน และข้อมูลเกี่ยวกับท่านอื่นใดที่ได้ให้ไว้หรือเกิดจากการใช้บริการกับบริษัท
ข้อมูลในเอกสารที่ทางราชการ/หน่วยงานภาครัฐออกให้ในการระบุตัวตนและการยืนยันตัวตน	– หมายเลขบัตรประจำตัวประชาชน – หมายเลขหนังสือเดินทาง – หมายเลขใบอนุญาตขับรถ – หมายเลขทะเบียนยานพาหนะ – หมายเลขใบอนุญาตการประกอบวิชาชีพ – หนังสือรับรองบริษัท (ที่ระบุรายชื่อกรรมการบริษัท เป็นต้น) – หมายเลขประจำตัวผู้ประกันตน / ประกันสังคม – หมายเลขประจำตัวและข้อมูลในเอกสารอื่นใดที่หน่วยงานภาครัฐออกให้ เช่นรายละเอียดที่ปรากฏในสำเนาทะเบียนบ้าน
ข้อมูลเกี่ยวกับการศึกษา	– วุฒิการศึกษาและการเข้าศึกษา ผลการศึกษา – ใบอนุญาตสมาชิกภาพกับองค์กรวิชาชีพ (เช่น สมาชิกสภาทนายความ)
ข้อมูลทางการเงินและข้อมูลเกี่ยวกับ ความสัมพันธ์ของท่านกับบริษัท	– รายได้ แหล่งที่มาของรายได้ รายจ่าย – หมายเลขบัญชีที่มีกับสถาบันการเงิน –
ข้อมูลเกี่ยวกับการจ้างงานและประวัติการทำงาน	– อาชีพ ตำแหน่ง ยศ สถานะวิชาชีพ – สถานภาพใบอนุญาตทำงาน – หมายเลขประจำตัวผู้เสียภาษี หมายเลขประจำตัวพนักงาน – ข้อเรียกร้องประกันภัย เงินทดแทนแรงงาน ประวัติการจ้างงาน (รวมถึงรายละเอียดเกี่ยวกับเงินเดือน ค่าตอบแทนการเข้างาน และผลประโยชน์ต่างๆ) รายละเอียดเกี่ยวกับนายจ้างและสถานที่ทํางาน วันที่ว่าจ้างให้ทำงาน การบอกเลิกจ้าง สถานที่ทำงานเดิม บริษัทที่ท่านทำงานหรือได้รับการว่าจ้างหรือบริษัทที่ท่านถือหุ้น – สถานภาพทางการเมือง ความสัมพันธ์กับกรรมการ และบุคคลผู้มีอำนาจควบคุมของบริษัท ความสัมพันธ์กับนิติบุคคลอื่น (เช่น เป็นกรรมการ ผู้ถือหุ้น) และความสัมพันธ์อื่นๆ
ข้อมูลการเข้าใช้งาน ข้อมูลเกี่ยวกับการใช้ข้อมูลออนไลน์/ เว็ปไซต์ ข้อมูลเชิงเทคนิค ข้อมูลที่เก็บผ่านอุปกรณ์หรือเครื่องมือ	– ข้อมูลคุกกี้ (Cookie) และข้อมูลที่บริษัทได้เก็บรวบรวมผ่านคุกกี้ (Cookies) หรือเทคโนโลยีอื่นที่คล้ายคลึงกัน – ข้อมูลการใช้งานเว็บไซต์ แพลตฟอร์ม และการตอบสนองต่อการโฆษณา ประชาสัมพันธ์สินค้า ผลิตภัณฑ์และบริการของบริษัท (รวมถึงเนื้อหาที่ท่านเข้าชม ลิงก์ที่ท่านกดเข้าชม วันที่ และเวลาของการเข้าเยี่ยมชมเว็บไซต์ และฟังก์ชันที่ท่านใช้) – การระบุพิกัด ข้อมูลการเข้าถึงสื่อเสียง / ภาพวิดีทัศน์ / ภาพถ่าย / กล้อง ข้อมูลปฏิทิน ข้อมูลบันทึกการโทร สมุดบัญชีรายชื่อผู้ติดต่อ / ที่อยู่ ข้อความหรืออีเมล (เนื้อหาอีเมล) – หมายเลขประจำตัวเครื่อง (Unique Device Identifier: UDID) ที่อยู่ไอพี (IP Address) หรือข้อมูลเฉพาะ (unique identifier) สำหรับอุปกรณ์เคลื่อนที่ คอมพิวเตอร์ เทคโนโลยี หรืออุปกรณ์อื่นๆ ที่ท่านใช้เพื่อเข้าถึงเว็บไซต์หรือบริการออนไลน์ หรือแอปพลิเคชันของบริษัท – ข้อมูลประจำตัวในการล็อกอินรหัสที่ใช้เพื่อความปลอดภัย รหัสการเข้าถึงหรือรหัสผ่าน ชื่อบัญชีผู้ใช้งาน (Username) รหัสผ่านเข้าใช้บัญชี (Password) หมายเลข PIN รายละเอียดการเข้าถึง เวลาที่ใช้ในการเข้าถึง รายละเอียด Single Sign-on (SSO) รหัสผ่านสำหรับใช้ครั้งเดียว (OTP) Token และข้อความ SMS
ข้อมูลบันทึกการติดต่อระหว่างท่านกับบริษัทเพื่อใช้ประกอบการให้บริการ	– ข้อมูลที่ต้องเก็บรักษาเพื่อประโยชน์ในการฟ้องร้องดำเนินคดี
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว	– ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม – ข้อมูลศาสนา หมู่โลหิต
ข้อมูลอื่นๆ	– ข้อมูลอื่นใดที่ท่านได้ให้ไว้เป็นส่วนหนึ่งในการให้บริการหรือการบริหารความสัมพันธ์ – ข้อมูลเกี่ยวกับพฤติกรรม ความชื่นชอบ มุมมอง ข้อซักถาม ข้อมูลเกี่ยวกับการสำรวจทางการตลาด และการแสดงความคิดเห็นของท่าน ที่ท่านให้ไว้กับบริษัทไม่ว่าผ่านช่องทางใดๆ – บันทึกการโต้ตอบและการสื่อสารระหว่างท่านกับบริษัท ไม่ว่าจะในรูปแบบหรือวิธีใดๆ ก็ตาม ข้อมูลส่วนบุคคลของบุคคลภายนอกที่ท่านให้แก่บริษัทที่เกี่ยวกับการใช้ผลิตภัณฑ์และบริการของบริษัท หรือเพื่อการแนะนำลูกค้า ข้อมูลอื่นใดที่ท่านให้ไว้หรือเกิดจากการใช้บริการกับบริษัทไม่ว่าผ่านช่องทางใดๆ

การเก็บรวบรวมข้อมูลส่วนบุคคลเป็นไปเท่าที่จำเป็นเพื่อให้บริการและดำเนินการเกี่ยวกับผลิตภัณฑ์บริการตามที่ท่านร้องขอ หรือเพื่อปฏิบัติตามข้อกำหนดทางกฎหมายหรือสัญญา หรือเพื่อการดำเนินธุรกิจของบริษัท หากท่านไม่ให้ข้อมูลของท่านแก่บริษัท บริษัทอาจไม่สามารถเข้าทำสัญญาหรือให้บริการกับท่านได้ หรืออาจไม่สามารถปฏิบัติหน้าที่บางประการที่บริษัทมีต่อท่านได้

ข้อมูลส่วนบุคคลของบุคคลภายนอก

บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลตามที่ระบุข้างต้นของบุคคลอื่นหรือบุคคลที่สาม เช่น บุคคลในครอบครัว ญาติ เพื่อนของท่าน หรือบุคคลอื่นใดที่ท่านแจ้งหรือแนะนำต่อบริษัท หากท่านได้ให้ข้อมูลส่วนบุคคลของบุคคลดังกล่าวแก่บริษัท ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามประกาศฉบับนี้ให้บุคคลดังกล่าวทราบ รวมถึงการขอความยินยอมจากบุคคลนั้นในกรณีที่กฎหมายกำหนดที่ต้องได้รับความยินยอม ตลอดจนตรวจสอบความถูกต้องและความครบถ้วนสมบูรณ์ของข้อมูลส่วนบุคคลที่ท่านให้ และแจ้งให้บริษัททราบถึงการเปลี่ยนแปลงของข้อมูลส่วนบุคคลที่ได้ให้ไว้กับบริษัท นอกจากนี้ ท่านมีหน้าที่ดำเนินการใดๆ เพื่อให้บริษัทสามารถเก็บรวบรวม ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคลของบุคคลนั้นได้โดยชอบด้วยกฎหมายตามที่ระบุไว้ในประกาศฉบับนี้

ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ และคนเสมือนไร้ความสามารถ

ตามที่กฎหมายกำหนดให้มีการขอความยินยอมจากผู้ใช้อำนาจปกครอง ผู้พิทักษ์ หรือผู้อนุบาล ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์ คนเสมือนไร้ความสามารถ และคนไร้ความสามารถ ดังนั้น หากบริษัททราบว่าบริษัทได้เก็บรวบรวมข้อมูลส่วนบุคคลของผู้เยาว์โดยไม่ได้รับความยินยอมจากผู้ใช้อำนาจปกครอง (ในกรณีที่ผู้เยาว์ไม่สามารถให้ความยินยอมได้ด้วยตนเองตามกฎหมาย) หรือเก็บรวบรวมข้อมูลส่วนบุคคลของคนไร้ความสามารถและคนเสมือนไร้ความสามารถโดยมิได้รับความยินยอมจากผู้พิทักษ์หรือผู้อนุบาลโดยไม่ได้เจตนา และหากบริษัทไม่สามารถอาศัยฐานทางกฎหมายอื่นนอกเหนือจากความยินยอมได้ บริษัทจะดำเนินการลบข้อมูลดังกล่าวโดยเร็ว อย่างไรก็ดี บริษัทอาจเก็บรวบรวม ใช้ เปิดเผย และ/หรือ โอนข้อมูลดังกล่าว เฉพาะในกรณีที่บริษัทสามารถอาศัยเหตุอันชอบด้วยกฎหมายประการอื่นนอกเหนือจากความยินยอมได้

แหล่งที่มาของข้อมูลส่วนบุคคลของท่าน

บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลของท่านผ่านช่องทางต่างๆ โดยช่องทางการเก็บรวบรวมอาจมีความแตกต่างกันตามแต่กรณีโดยขึ้นอยู่กับบริบทที่ท่านได้ติดต่อกับบริษัทด้วย

(1) บริษัททำการเก็บรวบรวมข้อมูลส่วนบุคคลจากท่านโดยตรงผ่านช่องทางต่างๆ เช่น การเก็บข้อมูลส่วนบุคคลจากการกรอกข้อมูลส่วนบุคคลผ่านแบบฟอร์มการสมัครใช้บริการทั้งในรูปแบบกระดาษและรูปแบบออนไลน์ การตอบแบบสอบถาม (Survey) ของบริษัท หรือผ่านระบบโทรคมนาคม (เช่น ทางโทรศัพท์ ทางอีเมล ทางเว็บไซต์) แอปพลิเคชันหรือแพลตฟอร์มสำหรับการติดต่อสื่อสาร สื่อสังคมออนไลน์ หรือช่องทางอื่นๆ ที่ท่านใช้ในการติดต่อสื่อสารกับบริษัท รวมถึงการใช้งานกล้องโทรทัศน์วงจรปิด เมื่อท่านเข้าเยี่ยมชมสถานที่ของบริษัท
(2) บริษัทอาจได้รับข้อมูลส่วนบุคคลของท่านจากแหล่งอื่น เช่น การสืบค้นข้อมูลส่วนบุคคลผ่านระบบเว็บไซต์ หรือการสอบถามจากบุคคลที่สาม ข้อมูลสาธารณะ พันธมิตรทางธุรกิจของบริษัท แหล่งข้อมูลของทางการ หน่วยงานของรัฐที่มีฐานข้อมูลที่น่าเชื่อถือเกี่ยวกับบุคคล หน่วยงานภาครัฐ (เช่น ธนาคารแห่งประเทศไทย กรมสรรพากร สำนักงานป้องกันและปราบปรามการฟอกเงิน กระทรวงพาณิชย์) ศาล และจากบุคคลภายนอกอื่นใด (เช่น ผู้ที่แนะนำลูกค้า ผู้แทนของท่าน ผู้ค้า หรือบุคคลอื่นใดซึ่งได้รับมอบอำนาจจากท่าน)

ฐานในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน

บริษัทดำเนินการประมวลผลข้อมูลส่วนบุคคลของท่าน โดยมีวัตถุประสงค์ภายใต้ฐานทางกฎหมาย (แล้วแต่กรณี) ดังต่อไปนี้

(1) ฐานการปฏิบัติตามสัญญา เพื่อให้บริษัทสามารถปฏิบัติหน้าที่ และ/หรือดำเนินการอันจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งท่านเป็นคู่สัญญากับบริษัท หรือเพื่อดำเนินการตามขั้นตอนต่างๆ ตามที่ท่านร้องขอก่อนจะเข้าทำสัญญากับบริษัท
(2) ฐานการปฏิบัติตามกฎหมาย เพื่อการปฏิบัติหน้าที่ตามกฎหมายของบริษัท เช่น กฎหมายป้องกันและปราบปรามการฟอกเงิน ประมวลกฎหมายแพ่งและพาณิชย์ พระราชบัญญัติคุ้มครองแรงงาน รวมถึงกฎหมายแรงงานอื่น ๆ ที่เกี่ยวข้อง เป็นต้น
(3) ฐานประโยชน์โดยชอบด้วยกฎหมาย กรณีมีความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือของบุคคลอื่น โดยที่ประโยชน์ดังกล่าวมีความสำคัญมากกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของท่าน เช่นการป้องกันอาชญากรรมและการฉ้อโกง
(4) ฐานการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(5) ฐานประโยชน์สาธารณะ สำหรับการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่บริษัทได้รับมอบหมาย
(6) ฐานความยินยอม สำหรับกรณีที่ไม่สามารถใช้ฐานทางกฎหมายอื่นใดได้ และบริษัทได้รับความยินยอมจากท่านในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด

วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

บริษัทเก็บรวบรวมข้อมูลของท่านเพื่อวัตถุประสงค์หลายประการ ทั้งนี้ ขึ้นอยู่กับลักษณะกิจกรรมหรือบริบทที่ท่านได้ติดต่อหรือทำธุรกรรมกับบริษัทด้วย รวมถึง ผลิตภัณฑ์และบริการที่ท่านได้รับ ตลอดจนลักษณะความสัมพันธ์ระหว่างท่านและพันธมิตรทางธุรกิจของบริษัท และ/หรือ ข้อพิจารณาอื่นๆ ในแต่ละบริบท ทั้งนี้ วัตถุประสงค์ตามที่ได้ระบุไว้ต่อไปนี้ เป็นเพียงกรอบการใช้ข้อมูลของบริษัทในขณะที่ประกาศฉบับนี้ทำขึ้น โดยวัตถุประสงค์ที่เกี่ยวข้องกับท่านเท่านั้นที่จะมีผลกับการใช้ข้อมูลของท่าน ซึ่งรวมถึงแต่ไม่จำกัดเพียง

เพื่อดําเนินการตามคําขอของท่านก่อนการเข้าทําสัญญากับบริษัท การส่งมอบผลิตภัณฑ์ และ/หรือบริการของบริษัทตามสัญญาซึ่งท่านเป็นคู่สัญญา การปฏิบัติตามหรือบังคับตามเงื่อนไขที่กำหนดในสัญญาหรือการดำเนินการตามคำขอ ข้อสัญญา และ/หรือข้อตกลงอื่นใดๆ ที่ท่านได้ทำไว้กับบริษัท การให้คําแนะนําและการจัดการเกี่ยวกับผลิตภัณฑ์และ/หรือบริการ ซึ่งรวมถึงการดําเนินการใดๆ ของบริษัท ซึ่งหากไม่ได้ดําเนินการแล้วจะกระทบต่อการดําเนินการหรือการให้บริการของบริษัท หรือจะไม่สามารถให้บริการได้อย่างเป็นธรรมและต่อเนื่อง
เพื่อการยืนยันตัวตนของท่านในการทําธุรกรรม และเพื่อการตรวจสอบข้อมูลของท่าน การดำเนินการตามกระบวนการและขั้นตอนต่างๆ เกี่ยวกับการระบุตัวตนของลูกค้าและการตรวจสอบความเสี่ยงด้านความปลอดภัยอื่นๆ การตรวจสอบตัวตนและสถานะของลูกค้า การตรวจสอบข้อมูลหรือการตรวจสอบความเป็นมาในลักษณะอื่นใด หรือการระบุหาความเสี่ยงเกี่ยวกับท่าน และ/หรือลูกค้า เช่น การทำความรู้จักลูกค้า หรือ Know Your Customer (KYC) การตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า (Customer Due Diligence) การป้องกันและปราบปรามการฟอกเงิน
การดำเนินการวิเคราะห์ วิจัย ทำข้อมูลสถิติ เพื่อประโยชน์สูงสุดในการพัฒนา ปรับปรุงผลิตภัณฑ์และบริการให้ตอบสนองต่อความต้องการของท่านอย่างแท้จริง และ/หรือ ติดต่อท่านเพื่อเสนอผลิตภัณฑ์ บริการ การส่งเสริมการขาย ประชาสัมพันธ์ ข้อเสนอพิเศษ ข่าวสารและกิจกรรม สิทธิประโยชน์เกี่ยวกับผลิตภัณฑ์ และ/หรือบริการของบริษัทที่เลือกสรรและวิเคราะห์มาโดยเฉพาะเพื่อท่าน รวมถึงการวิเคราะห์เพื่อค้นหากลุ่มลูกค้าเป้าหมายที่มีลักษณะใกล้เคียงกับท่านเพื่อประชาสัมพันธ์ผลิตภัณฑ์และบริการต่าง ๆ รวมถึงสิทธิประโยชน์ที่เหมาะสมกับความสนใจของบุคคลเหล่านั้นต่อไป
เพื่อบริหารจัดการความสัมพันธ์ระหว่างบริษัทและท่าน (เช่น การดูแลลูกค้า บริการหลังการขาย ประเมินและสำรวจความพึงพอใจ จัดการข้อร้องเรียน ตอบคำถามและให้ความช่วยเหลือ หรือให้ข้อมูลเกี่ยวกับผลิตภัณฑ์บริการแก่ลูกค้า)
เพื่อการปฏิบัติตามกฎหมายที่เกี่ยวข้องกับการดำเนินงานของบริษัท เช่นการเก็บรวบรวมข้อมูลเพื่อใช้ในการหักภาษี ณ ที่จ่าย และปฏิบัติตามกฎระเบียบ และ/หรือคำสั่งของหน่วยงานราชการ หรือหน่วยงานที่มีอำนาจต่างๆ รวมถึงให้หรือเปิดเผยข้อมูลส่วนบุคคลของท่านแก่หน่วยงานราชการตามที่กฎหมายกำหนด หรือตามที่หน่วยงานของรัฐ หน่วยงานที่มีอำนาจควบคุมและกำกับดูแลร้องขอ อาทิ สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สำนักงานตำรวจแห่งชาติ หรือสำนักงานป้องกันและปราบปรามการฟอกเงิน ธนาคารแห่งประเทศไทย เป็นต้น
เพื่อวัตถุประสงค์ในการตรวจสอบต่าง ๆ การวิเคราะห์ และจัดทำเอกสารตามคำร้องขอของหน่วยงาน หรือ องค์กรอื่นใดที่เกี่ยวข้องหรืออาจเกี่ยวกับการดำเนินธุรกิจของบริษัท อาทิ ธนาคารแห่งประเทศไทย
เพื่อการบริหารจัดการธุรกิจ และการบริหารจัดการภายใน เช่น การบริหารด้านการเงิน การดำเนินการด้านบัญชี ภาษี การตรวจสอบภายใน การบริการจัดการความเสี่ยง การจัดเก็บข้อมูล (เช่น การสำรองข้อมูลและการจัดเก็บข้อมูลในฐานข้อมูล) ตลอดจนปฏิบัติตามนโยบายและกระบวนการต่างๆ ตามหลักการกำกับดูแลกิจการภายใน และแนวปฏิบัติด้านธรรมาภิบาลที่ดี
เพื่อการระงับข้อพิพาท การฟ้องคดี การต่อสู้คดี การเข้าร่วมเป็นคู่ความ กระบวนพิจารณาทางกฎหมาย หรือการดำเนินการอย่างอื่นใดเพื่อต่อสู้ในคดีแพ่ง คดีอาญา การดำเนินคดีตามกฎหมาย หรือกรณีที่มีหมายเรียกพยาน กระบวนการทางกฎหมาย กระบวนการบังคับคดี ข้อกำหนดด้านการกำกับดูแล การบังคับใช้กฎหมาย การใช้สิทธิตามกฎหมายของบริษัท เป็นต้น
การตรวจสอบดูแลความสงบเรียบร้อยและการรักษาความปลอดภัย (เช่น การบันทึกภาพ CCTV ลงทะเบียน แลกบัตร และ/หรือบันทึกภาพ ผู้ติดต่อก่อนเข้าบริเวณสถานที่ของบริษัท) เพื่อการตรวจสอบดูแล ป้องกัน หรือระงับเหตุการณ์ใด ๆ ที่อาจเป็นอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ตลอดจนป้องกันการสูญหาย หรือเสียหายในทรัพย์สินของบริษัท หรือใช้เพื่อติดตามเอาคืนทรัพย์สิน หรือเรียกให้ชดใช้ค่าเสียหาย ในกรณีที่มีการทำให้ทรัพย์สินของบริษัท สูญหาย หรือเสียหาย เป็นต้น
การติดต่อสื่อสารทางธุรกิจกับท่านหรือพันธมิตรทางธุรกิจ และการคัดเลือกพันธมิตรทางธุรกิจ เพื่อการจัดซื้อสินค้า และ/หรือบริการจากพันธมิตรทางธุรกิจของบริษัท เพื่อการยืนยันตัวตนของท่านและ/หรือพันธมิตรทางธุรกิจ เพื่อการเปรียบเทียบราคา เพื่อการประเมินความเหมาะสมและคุณสมบัติของท่านและ/หรือพันธมิตรทางธุรกิจ เพื่อการเจรจาต่อรอง หรือการทำสัญญากับท่านและ/หรือพันธมิตรทางธุรกิจ รวมถึงเพื่อติดตามพันธมิตรทางธุรกิจในการปฏิบัติตามสัญญาหรือดำเนินการตามนโยบายของบริษัท
เพื่อบันทึกภาพนิ่ง ภาพเคลื่อนไหว และ/หรือ บันทึกเสียงในการจัดประชุม อบรม สัมมนา สันทนาการ หรือกิจกรรมๆ (เช่น กิจกรรมส่งเสริมการตลาด) ที่บริษัทจัดขึ้น รวมถึงการนําข้อมูลดังกล่าวไปใช้ในการประชาสัมพันธ์ หรือเผยแพร่เกี่ยวกับการจัดประชุม การฝึกอบรม สัมมนา สันทนาการ หรือ กิจกรรมต่างๆ ทั้งภายในและ/หรือภายนอกบริษัท
เพื่อดำเนินการติดต่อ สื่อสาร ลงทะเบียน หรือยืนยันตัวตนของท่านในการเข้าร่วมอบรมสัมมนาและกิจกรรมต่าง ๆ ของบริษัท
เพื่อการประชาสัมพันธ์การฝึกอบรม สัมมนา และกิจกรรมต่าง ๆ ของบริษัท รวมถึงแจ้งสิทธิประโยชน์ที่ท่านหรือองค์กรของท่านอาจสนใจผ่านช่องทางออนไลน์ เช่น เว็บไซต์ของบริษัท เครือข่ายสังคมออนไลน์ เป็นต้น
เพื่อการบริหารจัดการระบบเทคโนโลยีสารสนเทศ และการใช้เทคโนโลยีต่างๆ (เช่น การใช้งานอินเทอร์เน็ต อีเมล์ภายในบริษัท การอนุญาตให้บุคคลภายนอกเข้าใช้งานอินเทอร์เน็ต หรือสัญญาณ Wi-Fi ของบริษัท) การติดตามตรวจสอบระบบ เครื่องมือ และอินเทอร์เน็ตเพื่อให้ระบบเทคโนโลยีสารสนเทศมีความปลอดภัย การดำเนินการอื่นที่เกี่ยวข้องกับการบำรุงรักษาข้อมูล และงานด้านเทคโนโลยีสารสนเทศของบริษัท การปฏิบัติตามนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ การบริหารจัดการการเข้าถึงระบบต่างๆ ที่บริษัทมีสิทธิเข้าถึง รวมถึง การใช้สิทธิของบริษัทหรือการรักษาสิทธิประโยชน์ของบริษัทในกรณีที่มีความจำเป็นและโดยชอบด้วยกฎหมายที่จะกระทำเช่นนั้น เช่น การตรวจสอบ การป้องกัน การป้องกันหรือการระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล และการรักษาความปลอดภัยให้แก่บริษัท

นอกจากนี้ บริษัทอาจเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวของท่าน เมื่อท่านได้ให้ความยินยอมโดยชัดแจ้งกับบริษัท เว้นแต่ในกรณีที่มีวัตถุประสงค์เพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย ยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย ปฏิบัติตามหรือใช้สิทธิเรียกร้องตามกฎหมาย ตลอดจนเพื่อปฏิบัติหน้าที่ตามกฎหมาย เพื่อประโยชน์สาธารณะที่สำคัญ หรือในกรณีอื่นใดที่กฎหมายกำหนดและได้อนุญาตไว้ เพื่อวัตถุประสงค์ดังต่อไปนี้ด้วย

กรณีบริษัทได้รับสำเนาบัตรประจำตัวประชาชน หรือเอกสารอื่นใดของท่าน เพื่อวัตถุประสงค์ในการพิสูจน์ยืนยันตัวตนในการก่อนิติสัมพันธ์ทางกฎหมาย และ/หรือการทำธุรกรรมใด ๆ กับบริษัท เช่น เพื่อใช้เป็นเอกสารประกอบการเข้าทำสัญญากับบริษัท หรือเพื่อตรวจสอบตัวตนของลูกค้า คู่ค้าบุคคลธรรมดา และ/หรือกรรมการ ผู้ถือหุ้น ผู้มีอำนาจลงนามของบริษัท บริษัทอาจได้รับข้อมูลศาสนา หมู่โลหิต หรือข้อมูลส่วนบุคคลที่มีความอ่อนไหวโดยมิอาจหลีกเลี่ยงได้ ซึ่งบริษัทไม่มีนโยบายในการจัดเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์ดังกล่าวจากท่าน ยกเว้นกรณีที่บริษัทได้รับความยินยอม หรือมีฐานทางกฎหมายอื่นในการประมวลผล ทั้งนี้ ในกรณีที่บริษัทได้รับข้อมูลศาสนา หมู่โลหิต หรือข้อมูลส่วนบุคคลที่มีความอ่อนไหวที่ปรากฏในเอกสารแสดงตัวตน โดยที่ท่านไม่ได้ให้ความยินยอมหรือไม่ได้ทำการปกปิดไว้หรือบริษัทไม่มีฐานทางกฎหมายในการประมวลผลท่านรับทราบและเข้าใจว่าบริษัทจะรักษาความปลอดภัยของข้อมูลเกี่ยวกับศาสนา หมู่โลหิต หรือข้อมูลส่วนบุคคลที่มีความอ่อนไหวของท่านตามกฎหมายที่บังคับใช้ และตามวิธีการจัดการข้อมูลส่วนบุคคลที่มีความอ่อนไหวที่เหมาะสม เช่น การถมดำ ระบายทึบหรือปิดทึบข้อมูลส่วนบุคคลที่มีความอ่อนไหวบนสำเนาบัตรประจำตัวประชาชนที่ถ่ายสำเนาไว้แล้ว หรือในเอกสารที่มีข้อมูลส่วนบุคคลที่มีความอ่อนไหว

ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย

เพื่อดำเนินการตามวัตถุประสงค์ที่ระบุไว้ในประกาศความเป็นส่วนตัวฉบับนี้ บริษัทอาจเปิดเผยข้อมูลของท่านเท่าที่จำเป็นให้แก่หน่วยงาน หรือบุคคลภายนอกดังต่อไปนี้ ทั้งนี้ ขึ้นอยู่กับลักษณะความสัมพันธ์ของท่านกับบริษัท ตลอดจนลักษณะของผลิตภัณฑ์และบริการที่ท่านได้รับจากบริษัท

(1) หน่วยงานของรัฐที่มีอำนาจตามกฎหมาย หน่วยงานกำกับดูแล หรือหน่วยงานอื่นตามที่กฎหมายกำหนด

บริษัทอาจเปิดเผย ส่ง และ/หรือโอนข้อมูลส่วนบุคคลของท่านไปยังหน่วยงานของรัฐ หน่วยงานกำกับดูแล หรือศาล สำนักงานป้องกันและปราบปรามการฟอกเงิน สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการป้องกันและปราบปรามยาเสพติด สำนักงานประกันสังคม กรมสรรพากร กรมบังคับคดี ธนาคารแห่งประเทศไทย ตามที่กฎหมายกำหนด และบริษัท ข้อมูลเครดิตแห่งชาติ จำกัด เป็นต้น

(2) ผู้ให้บริการภายนอก และพันธมิตรทางธุรกิจ

บริษัทมีนิติสัมพันธ์กับผู้ให้บริการภายนอก และพันธมิตรทางธุรกิจที่ได้รับการคัดเลือกอย่างระมัดระวังไม่ว่าในขณะนี้หรือในอนาคต โดยผู้ให้บริการ หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่บริษัทว่าจ้างหรือมอบหมายให้ประมวลผลข้อมูลส่วนบุคคลในนามบริษัท และ/หรือพันธมิตรทางธุรกิจดังกล่าวอาจอยู่ในประเทศไทยหรือต่างประเทศ ในฐานะเป็นส่วนหนึ่งของการดำเนินการทางธุรกิจตามปกติของบริษัท เช่น ผู้ให้บริการด้านการท่องเที่ยว บริษัทในกลุ่มธุรกิจประกันภัย คู่สัญญา คู่ค้า ผู้แทนจำหน่าย และธนาคาร/สถาบันการเงิน รวมทั้งที่ปรึกษาภายนอก เช่น ทนายความ ผู้ได้รับมอบอำนาจให้ดำเนินคดี นักบัญชี ผู้สอบบัญชี นักตรวจสอบ เป็นต้น

ทั้งนี้ การเปิดเผย ส่ง และ/หรือโอนข้อมูลส่วนบุคคลนั้นจะกระทำตามสมควรเพื่อให้มั่นใจว่าบุคคลที่รับข้อมูลจะให้ความคุ้มครองข้อมูลส่วนบุคคลของท่านในระดับเดียวกันกับของบริษัท

การส่งหรือโอนข้อมูลของท่านไปยังต่างประเทศ

เนื่องจากกิจการของบริษัทในปัจจุบัน บริษัทอาจไม่มีการส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ อย่างไรก็ดี หากบริษัทจะส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ บริษัทจะดำเนินการโดยได้รับความยินยอมจากท่าน หรือในฐานที่บริษัทมีสิทธิเพื่อประโยชน์โดยชอบตามกฎหมาย (เช่น เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา) ทั้งนี้ เท่าที่ได้รับอนุญาตตามบทบัญญัติของกฎหมายที่เกี่ยวข้อง ในกรณีเช่นว่านั้น หากบริษัทจำเป็นต้องได้รับความยินยอมจากท่านในการโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ และข้อมูลส่วนบุคคลของท่านนั้นถูกโอนไปยังบุคคลหรือหน่วยงานซึ่งอยู่ในประเทศปลายทางที่ยังไม่มีคำวินิจฉัยจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยที่ใช้บังคับในขณะนั้น บริษัทจะดำเนินมาตรการที่จำเป็นเพื่อคุ้มครองข้อมูลส่วนบุคคลของท่านที่ถูกโอนไปยังบุคคลอื่นนอกประเทศให้เทียบเท่ากับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่บริษัทได้ดำเนินการกับข้อมูลส่วนบุคคลของท่านตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยที่ใช้บังคับในขณะนั้น

ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน

บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลไว้เป็นระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวมข้อมูลส่วนบุคคล ดังต่อไปนี้

(1) ตามระยะเวลาที่กฎหมายกำหนดเกี่ยวกับการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ (เช่น พระราชบัญญัติการบัญชี พ.ศ. 2543 พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ประมวลรัษฎากร) หรือเก็บรวบรวมไว้ตลอดระยะเวลาที่ต้องปฏิบัติตามกฎหมาย ตามอายุความ หรือเพื่อบังคับการให้เป็นไปตามกฎหมายที่อยู่ในความรับผิดชอบของบริษัท
(2) ในกรณีที่กฎหมายไม่ได้กำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ บริษัทจะกำหนดระยะเวลาในการจัดเก็บตามความจำเป็นที่เหมาะสมในการปฏิบัติงานของบริษัท เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพ

เมื่อระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลไว้สิ้นสุดลง บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้

สิทธิของท่านในฐานะเจ้าของข้อมูลส่วนบุคคล

ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิหลายประการที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ เปิดเผย และ/หรือ โอนข้อมูลส่วนบุคคลของท่านตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนี้

สิทธิในการเพิกถอนความยินยอม (right to withdraw consent) ในกรณีที่ท่านได้เคยให้ความยินยอมไว้กับบริษัท ท่านมีสิทธิขอเพิกถอนความยินยอมเมื่อใดก็ได้ ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของท่านอยู่กับบริษัท เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่ท่าน ทั้งนี้ การถอนความยินยอมจะไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมไปแล้วโดยชอบด้วยกฎหมาย
สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right to access) ท่านมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของท่านและขอให้บริษัททำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้แก่ท่าน และข้อมูลที่เกี่ยวกับสภาพแห่งข้อมูลส่วนบุคคลของท่าน รวมทั้งขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ท่านไม่ได้ให้ความยินยอม
สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification) หากท่านเห็นว่าข้อมูลส่วนบุคคลของท่านไม่ถูกต้อง ไม่เป็นปัจจุบัน หรือไม่สมบูรณ์ ท่านมีสิทธิขอให้แก้ไขข้อมูลส่วนบุคคลของท่านดังกล่าวให้เป็นไปอย่างถูกต้อง เป็นปัจจุบัน และสมบูรณ์ครบถ้วนได้
สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล (right to erasure) ท่านมีสิทธิในการขอให้บริษัทลบหรือทำลายข้อมูลส่วนบุคคลของท่าน ตลอดจนการทำให้ข้อมูลส่วนบุคคลของท่านอยู่ในลักษณะของข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ เว้นแต่ในกรณีที่กฎหมายอนุญาตให้บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน เช่น เพื่อก่อตั้งสิทธิเรียกร้อง ปฏิบัติตามหรือใช้สิทธิเรียกร้อง หรือต่อสู้ข้อเรียกร้องสิทธิ หรือปฏิบัติตามกฎหมาย
สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing) ท่านมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลของท่านด้วยเหตุบางประการได้ เช่น ในกรณีที่ท่านพบว่าข้อมูลส่วนบุคคลของท่านไม่ถูกต้อง ท่านอาจใช้สิทธิระงับการใช้ข้อมูลส่วนบุคคลดังกล่าวจนกว่าจะมีการแก้ไขให้ถูกต้อง
สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability) ในกรณีที่กฎหมายได้ให้สิทธิไว้ ท่านมีสิทธิขอให้บริษัทส่งหรือโอนข้อมูลส่วนบุคคลที่อยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลได้ด้วยวิธีการอัตโนมัติ รวมทั้งการส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติหรือขอรับข้อมูลส่วนบุคคลที่บริษัทส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object) ท่านมีสิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลที่เกี่ยวกับตนได้

นอกจากนี้ ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลยังมีสิทธิในการร้องเรียนในกรณีที่ท่านเห็นว่าบริษัทไม่ได้ปฏิบัติตามกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ท่านมีสิทธิในการร้องเรียนไปยังหน่วยงานที่มีอำนาจกำกับดูแลการประมวลผลข้อมูลส่วนบุคคลของท่าน หรือคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล อย่างไรก็ตาม ก่อนการใช้สิทธิในการร้องเรียนต่อหน่วยงานของรัฐที่มีอำนาจภายใต้กฎหมายนั้น บริษัทใคร่ขอให้ท่านโปรดติดต่อมายังบริษัทเพื่อให้บริษัทได้มีโอกาสในการรับทราบถึงข้อเท็จจริงและข้อกังวลของท่าน เพื่อทำการชี้แจงและแก้ไขข้อกังวลในประเด็นต่างๆ ของท่านก่อนในโอกาสแรก

ท่านสามารถยื่นคำขอใช้สิทธิต่อบริษัท โดยบริษัทจะพิจารณาดำเนินการตามคำขอหรือปฏิเสธคำขอของท่าน พร้อมแจ้งผลกลับไปให้ท่านทราบ โดยท่านสามารถติดต่อมายังบริษัทตามรายละเอียดวิธีการติดต่อบริษัทด้านล่างนี้ เพื่อยื่นคำขอดำเนินการตามสิทธิต่างๆ ข้างต้น ทั้งนี้ การขอใช้สิทธิของท่านในฐานะเจ้าของข้อมูลส่วนบุคคลตามที่กำหนดข้างต้นอาจมีข้อจำกัดสิทธิตามกฎหมาย อย่างไรก็ดี บริษัทอาจปฏิเสธคำขอของท่านเมื่อมีเหตุผลอันสมควรและเป็นไปโดยชอบด้วยกฎหมาย เช่น ในกรณีที่บริษัทต้องปฏิบัติหน้าที่ตามกฎหมายหรือตามคำสั่งศาล

การรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคล

บริษัทกำหนดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยธำรงไว้ซึ่งความเป็นความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคลภายใต้การควบคุมของบริษัท เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยขัดต่อกฎหมาย ซึ่งสอดคล้องกับนโยบายและวิธีปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศของบริษัท

ในกรณีที่บริษัทได้ว่าจ้างหน่วยงานหรือบุคคลภายนอกให้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล บริษัทจะกำหนดให้หน่วยงานหรือบุคคลภายนอกดังกล่าวเก็บรักษาข้อมูลส่วนบุคคลเป็นความลับ และรักษาความปลอดภัยของข้อมูลส่วนบุคคลของท่าน ซึ่งรวมถึงการใช้ความระมัดระวังและมาตรการที่เหมาะสม ตลอดจนป้องกันมิให้นำข้อมูลส่วนบุคคลไปเก็บรวบรวม ใช้ หรือเปิดเผย เพื่อการอื่นใดที่ไม่เป็นไปตามขอบเขตการว่าจ้าง ขัดต่อกฎหมาย หรือโดยไม่มีอำนาจหรือโดยมิชอบ

การใช้คุกกี้

เมื่อท่านเยี่ยมชมเว็บไซต์ของบริษัท บริษัทจะเก็บรวบรวมข้อมูลบางประการโดยอัตโนมัติจากท่านผ่านการใช้คุกกี้

“คุกกี้” (Cookies) หมายความว่า ไฟล์คอมพิวเตอร์ขนาดเล็ก ที่จะเก็บข้อมูลส่วนบุคคลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของเจ้าของข้อมูลส่วนบุคคล เพื่อความสะดวกและรวดเร็วในการติดต่อสื่อสารซึ่งจะมีผลในขณะที่เข้าใช้งานระบบเว็บไซต์เท่านั้น

การเก็บรวบรวมคุกกี้และเทคโนโลยีในลักษณะเดียวกันดังกล่าวจะช่วยให้บริษัทสามารถจดจำท่าน ทราบถึงความชื่นชอบของท่าน และปรับปรุงวิธีการที่บริษัทจะเสนอผลิตภัณฑ์ และ/หรือ บริการให้แก่ท่าน บริษัทอาจใช้คุกกี้เพื่อวัตถุประสงค์ต่างๆ (เช่น ให้ฟังก์ชันพื้นฐานสามารถทำงานได้ ช่วยให้บริษัทเข้าใจวิธีการที่ท่านใช้งานเว็บไซต์ของบริษัทหรือการติดต่อสื่อสารกับท่านได้ดียิ่งขึ้น และเพื่อให้มั่นใจว่าสื่อโฆษณาออนไลน์ที่ได้แสดงแก่ท่านมีความเกี่ยวข้องและเป็นสิ่งที่ท่านสนใจยิ่งขึ้น) รายละเอียดโปรดดูประกาศการใช้งานคุกกี้ของบริษัท https://quickerpthailand.com/privacy-policy/

ลิงก์เชื่อมต่อไปยังเว็บไซต์ของบุคคลภายนอก https://quickerpthailand.com/privacy-policy/

สำหรับผู้ใช้งานเว็บไซต์ บริการของบริษัทอาจมีลิงก์เชื่อมต่อไปยังเครือข่ายสังคมออนไลน์ แพลตฟอร์ม และเว็บไซต์อื่นที่มีบุคคลภายนอกเป็นผู้ดำเนินการ บริษัทพยายามที่จะเชื่อมต่อไปยังเว็บไซต์ที่มีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลเท่านั้น อย่างไรก็ตาม บริษัทไม่สามารถรับผิดชอบในเนื้อหาหรือมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์อื่นนั้น เว้นแต่จะกำหนดไว้เป็นประการอื่น ข้อมูลส่วนบุคคลใดที่ท่านให้แก่เว็บไซต์ของบุคคลภายนอกนั้นจะถูกเก็บรวบรวมโดยบุคคลดังกล่าวและอยู่ภายใต้ประกาศ / นโยบายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบุคคลภายนอกดังกล่าว (หากมี) ในกรณีเช่นว่านี้ บริษัทไม่อาจควบคุมและไม่อาจรับผิดชอบในการใช้ข้อมูลส่วนบุคคลของท่านโดยบุคคลภายนอกดังกล่าว

ข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม

บริษัทมีสิทธิในการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของท่านที่บริษัทได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 ในส่วนที่เกี่ยวข้องกับการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลมีผลใช้บังคับต่อไปตามวัตถุประสงค์เดิมของบริษัท หากท่านไม่ประสงค์ที่จะให้บริษัทเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลดังกล่าวต่อไป ท่านสามารถแจ้งบริษัทเพื่อขอเพิกถอนความยินยอมของท่านได้โดยเป็นไปตามเงื่อนไขที่กฎหมายกำหนดโดยติดต่อมายังบริษัทตามรายละเอียดวิธีการติดต่อบริษัทด้านล่างของประกาศฉบับนี้

วิธีการติดต่อบริษัท

ในกรณีที่ท่านประสงค์ที่จะบังคับใช้สิทธิตามกฎหมายของท่าน หรือหากท่านมีข้อสงสัย ต้องการเสนอแนะ หรือมีข้อกังวลใดเกี่ยวกับประกาศความเป็นส่วนตัวของบริษัทในเรื่องการคุ้มครองข้อมูลส่วนบุคคล โปรดติดต่อ และ/หรือส่งคำขอมายังบริษัทตามที่อยู่ที่ปรากฏด้านล่างนี้

รายละเอียดผู้ควบคุมข้อมูลส่วนบุคคล

ชื่อ : บริษัท ควิก อีอาร์พี จำกัด

สถานที่ติดต่อ : เลขที่ 5 หัวหมาก 9 แขวงหัวหมาก เขตบางกะปิ กรุงเทพมหานคร 10240

ช่องทางการติดต่อ : www.quickerpthailand.com

ท่านยังสามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทได้ตามรายละเอียดดังต่อไปนี้

รายละเอียดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

ชื่อ : ณัชชาพัชร์ พรศิริภัสร์

สถานที่ติดต่อ : เลขที่ 5 หัวหมาก 9 แขวงหัวหมาก เขตบางกะปิ กรุงเทพมหานคร 10240

ช่องทางการติดต่อ : DPO@quickerpthailand.com

Cookies Notice ประกาศความเป็นส่วนตัวเกี่ยวกับการใช้คุกกี้

ประกาศความเป็นส่วนตัวเกี่ยวกับการใช้คุกกี้

บริษัท ควิก อีอาร์พี จำกัด (“บริษัท”) อาจมีการใช้คุกกี้หรือเทคโนโลยีอื่นใดที่มีลักษณะใกล้เคียงกัน (“คุกกี้”) บนเว็บไซต์และ/หรือแอปพลิเคชันของบริษัท เพื่อช่วยให้ท่านได้รับประสบการณ์ที่ดีจากการใช้บริการ และช่วยให้บริษัทสามารถพัฒนาคุณภาพของบริการให้ตอบสนองต่อความต้องการของท่านมากยิ่งขึ้น กรณีที่ท่านใช้งานเว็บไซต์นี้ต่อไป ถือว่าท่านได้ยินยอมให้เราติดตั้งคุกกี้ไว้ในเครื่องคอมพิวเตอร์ของท่าน

คุกกี้คืออะไร?

“คุกกี้” (Cookies) คือ ไฟล์คอมพิวเตอร์ขนาดเล็ก ที่จะเก็บข้อมูลส่วนบุคคลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของเจ้าของข้อมูลส่วนบุคคล เพื่อความสะดวกและรวดเร็วในการติดต่อสื่อสารซึ่งจะมีผลในขณะที่เข้าใช้งานระบบเว็บไซต์เท่านั้น เช่น สถานะการเข้าใช้งานในปัจจุบันของท่าน ข้อมูลการตั้งค่าภาษา ข้อมูลเกี่ยวกับประวัติการเข้าใช้งานบนเว็บไซต์และ/หรือแอปพลิเคชันที่ท่านชื่นชอบ เพื่อให้ท่านสามารถใช้บริการที่มีการใช้คุกกี้หรือเทคโนโลยีอื่นใดที่มีลักษณะใกล้เคียงกันได้อย่างต่อเนื่อง โดยที่เครื่องเซิร์ฟเวอร์สามารถเรียกดูได้ในภายหลัง คล้ายกับหน่วยความจำของหน้าเว็บ

การทำงานของคุกกี้ ช่วยให้บริษัทรวบรวมและจัดเก็บข้อมูลการเยี่ยมชมเว็บไซต์ของท่านดังต่อไปนี้โดยอัตโนมัติ

อินเทอร์เน็ตโดเมนและ IP Address จากจุดที่ท่านเข้าสู่เว็บไซต์
ประเภทของเบราว์เซอร์ซอฟต์แวร์ ตลอดจนโครงสร้างและระบบการปฏิบัติงานที่ใช้ในการเข้าสู่เว็บไซต์
วันที่และเวลาที่ท่านเข้าสู่เว็บไซต์
ที่อยู่ของเว็บไซต์อื่นที่เชื่อมโยงท่านเข้าสู่เว็บไซต์ของเรา และ
หน้าเว็บที่ท่านเข้าเยี่ยมชม และนำท่านออกจากเว็บไซต์ของเรา รวมถึงเนื้อหาบนหน้าเว็บที่ท่านเยี่ยมชมและระยะเวลาที่ท่านใช้ในการเยี่ยมชม

ประโยชน์ของคุกกี้

คุกกี้ช่วยให้บริษัททราบว่าท่านเข้าชมส่วนใดในเว็บไซต์และ/หรือแอปพลิเคชันของบริษัท เพื่อที่บริษัทจะสามารถมอบประสบการณ์การใช้บริการที่ดีขึ้นและตรงกับความต้องการของท่านและช่วยให้ท่านสามารถใช้บริการเว็บไซต์และ/หรือแอปพลิเคชันของบริษัทได้อย่างต่อเนื่อง นอกจากนี้ การบันทึกการตั้งค่าแรกของบริการด้วยคุกกี้จะช่วยให้ท่านเข้าถึงบริการด้วยค่าที่ตั้งไว้ทุกครั้งที่ใช้งาน ยกเว้นในกรณีที่คุกกี้ถูกลบซึ่งจะทำให้การตั้งค่าทุกอย่างจะกลับไปที่ค่าเริ่มต้น

ประเภทของคุกกี้ที่ใช้

ประเภทของคุกกี้ที่บริษัทใช้รวมถึงแต่ไม่จำกัดเฉพาะรายการต่อไปนี้

ประเภทของคุกกี้

รายละเอียด

ตัวอย่าง

คุกกี้ประเภทจำเป็นถาวร

(Strictly Necessary cookies)

คุกกี้ประเภทนี้จำเป็นสำหรับการทำงานของเว็บไซต์และ/หรือแอปพลิเคชันของบริษัท เพื่อช่วยให้ท่านสามารถเข้าถึงข้อมูลและใช้เว็บไซต์และ/หรือแอปพลิเคชันของบริษัทได้อย่างปลอดภัย จึงไม่สามารถปิดการใช้คุกกี้ประเภทนี้ได้

• SessionID

• Load Balancing

• User ID

• Security

คุกกี้ประเภทการวิเคราะห์ และวัดผลการทำงาน

(Analytic/Performance cookie)

คุกกี้ประเภทนี้ช่วยให้บริษัทสามารถวิเคราะห์หรือวัดผลการทำงาน เพื่อให้บริษัทเข้าใจถึงความสนใจของท่าน เช่น การประมวลผลจำนวนผู้เยี่ยมชมเว็บไซต์และ/หรือแอปพลิเคชันของบริษัท พฤติกรรมการเยี่ยมชมเว็บไซต์และ/หรือแอปพลิเคชันของบริษัท จำนวนหน้าที่ท่านเข้าใช้งาน โดยบริษัทจะใช้ข้อมูลดังกล่าวในการปรับปรุงและพัฒนาประสิทธิภาพการทำงานของเว็บไซต์และ/หรือแอปพลิเคชันของบริษัท ให้ตอบสนองตามความต้องการและการใช้งานของท่านให้ดียิ่งขึ้น

• Google Analytics

• Adobe

คุกกี้ประเภทการทำงาน

(Functional cookies)

คุกกี้ประเภทนี้จะช่วยให้บริษัท “จดจำ” ท่านระหว่างการเยี่ยมชมและตั้งค่าเว็บไซต์และ/หรือแอปพลิเคชันของบริษัท ตามลักษณะการใช้งานให้สอดคล้องกับสิ่งที่ท่านเลือกเพื่ออำนวยความสะดวกเมื่อท่านกลับเข้ามาใช้เว็บไซต์และ/หรือแอปพลิเคชันของบริษัท ในครั้งถัดไป เช่น การจดจำชื่อผู้ใช้งานของท่าน การปรับขนาดตัวอักษร ภาษาและส่วนอื่นๆ บนหน้าเว็บไซต์และ/หรือแอปพลิเคชันของบริษัท

• Google Analytics

• SessionID

คุกกี้ประเภทการโฆษณา

(advertising cookies)

คุกกี้ประเภทนี้จะถูกบันทึกบนอุปกรณ์ของท่านเพื่อเก็บข้อมูลการเข้าใช้งานและลิงก์ที่ท่านติดตามหรือเยี่ยมชม เพื่อให้เข้าใจความต้องการของท่านและใช้ในการ นำเสนอสิทธิประโยชน์ ประชาสัมพันธ์ โฆษณา ให้เหมาะสมกับความสนใจของท่านมากที่สุด

• Adobe Audience Manager

• Adobe Target

• Google Analytics

• Facebook Pixels

• Facebook API

การตั้งค่าและการปฏิเสธคุกกี้

ท่านสามารถจัดการคุกกี้บนเว็บไซต์ได้ตามความต้องการของท่าน โดยทำการตั้งค่าหรือทำการตั้งค่าเบราว์เซอร์ความเป็นส่วนตัวของท่าน เพื่อระงับการเก็บรวบรวมข้อมูลโดยคุกกี้ในอนาคต อย่างไรก็ตาม หากท่านตั้งค่าเบราว์เซอร์หรือค่าความเป็นส่วนตัวของท่านด้วยการปฏิเสธการทำงานของคุกกี้ทั้งหมด ท่านอาจไม่สามารถใช้งานฟังก์ชั่นบางอย่างหรือทั้งหมดบนเว็บไซต์และ/หรือแอปพลิเคชันของบริษัทได้อย่างมีประสิทธิภาพ หากท่านประสงค์ที่จะทำการปรับเปลี่ยนการตั้งค่า ท่านสามารถเข้าไปอ่านเพิ่มเติมได้ที่ https://quickerpthailand.com/privacy-policy/ ทั้งนี้บริษัทฯ จะไม่รับผิดชอบและ บริษัทฯ ไม่ได้มีความเกี่ยวข้องกับเว็บไซต์ รวมทั้งเนื้อหาในเว็บไซต์ดังกล่าว

ในกรณีที่ท่านมีคำถามเกี่ยวกับประกาศความเป็นส่วนตัวเกี่ยวกับการใช้คุกกี้ของเรา ท่านสามารถติดต่อสอบถามได้ที่

รายละเอียดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

ชื่อ : ณัชชาพัชร์ พรศิริภัสร์

สถานที่ติดต่อ : เลขที่ 5 หัวหมาก 9 แขวงหัวหมาก เขตบางกะปิ กรุงเทพมหานคร 10240

ช่องทางการติดต่อ : DPO@quickerpthailand.com

HR's Privacy Notice ประกาศความเป็นส่วนตัวสำหรับพนักงานและส่วนงานทรัพยากรบุคคล

ประกาศความเป็นส่วนตัวสำหรับพนักงานและส่วนงานทรัพยากรบุคคล

ประกาศความเป็นส่วนตัวนี้ใช้บังคับกับท่าน และครอบคลุมถึงบุคคลอื่นใดที่บริษัทมีปฏิสัมพันธ์ด้วย ซึ่งบุคคลดังกล่าวรวมถึงแต่ไม่จำกัดเพียง

(1) พนักงานหรือลูกจ้างของบริษัทตามสัญญาจ้างแรงงาน
(2) ผู้สมัครงานกับบริษัท ไม่ว่าจะสมัครโดยตรง หรือสมัครผ่านตัวแทนจัดหางานหรือบุคคลอื่น
(3) ลูกจ้าง รวมถึงลูกจ้างระยะสั้น
(4) ที่ปรึกษา
(5) กรรมการ หรือผู้รับมอบอำนาจของบริษัท
(6) อดีตพนักงานหรือลูกจ้างซึ่งบริษัทมีหน้าที่ต้องเก็บหรือใช้ข้อมูลตามที่กฎหมายกำหนด
(7) พนักงานจ้างเหมาแรงงาน
(8) ผู้รับจ้างทำของ
(9) นักศึกษาฝึกงาน นักเรียนทุนของบริษัท หรือ บุคคลอื่นที่เกี่ยวข้อง
(10) วิทยากร ผู้บรรยายในการจัดฝึกอบรมของบริษัท และผู้ประสานงาน
(11) ผู้เข้ารับฝึกอบรมหรือเข้าร่วมโครงการหรือกิจกรรมที่บริษัทจัดขึ้นหรือมีส่วนร่วม
(12) บุคคลอื่นใดที่บริษัทได้มาซึ่งข้อมูลส่วนบุคคล (เช่น บุคคลในครอบครัว บุคคลอ้างอิง บุคคลค้ำประกัน ผู้รับผลประโยชน์ ผู้ติดต่อในกรณีฉุกเฉิน หรือผู้ที่เกี่ยวข้องอื่นๆ)

(รวมเรียกว่า “ท่าน” หรือ “เจ้าของข้อมูลส่วนบุคคล”)

ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
- ประเภทข้อมูลส่วนบุคคล

ประเภทข้อมูลส่วนบุคคล	ตัวอย่างข้อมูลส่วนบุคคล
ข้อมูลทั่วไปเกี่ยวกับบุคคล /รายละเอียดส่วนบุคคล	– ชื่อตัว ชื่อกลาง นามสกุล นามแฝง หรือชื่อที่เคยใช้ รวมถึงลายมือชื่อ – อายุ วันเดือนปีเกิด เพศ ส่วนสูง น้ำหนัก สถานภาพการสมรส จำนวนบุตร สัญชาติ ประเทศที่เกิด ความเป็นพลเมืองและสถานภาพ รายละเอียดเกี่ยวกับการเกณฑ์ทหาร บันทึกเสียงสนทนา – ภาพถ่ายบนบัตรประจำตัวประชาชนหรือบัตรประจำตัวพนักงาน – ภาพเคลื่อนไหวที่ถ่ายหรือบันทึกไว้ ภาพวีดีทัศน์กล้องวงจรปิด
ข้อมูลติดต่อ /รายละเอียดการติดต่อ	– ที่อยู่ตามทะเบียนบ้าน – ที่อยู่เพื่อจัดส่งไปรษณีย์ – ที่อยู่ที่ทำงาน – ชื่อผู้ใช้งานที่ใช้ในสื่อสังคมออนไลน์ – หมายเลขโทรศัพท์ หมายเลขโทรสาร – ที่อยู่อีเมล – รายละเอียดการติดต่อของบุคคลอ้างอิง รวมถึงข้อมูลอื่นใดที่มีความคล้ายคลึงกัน และข้อมูลเกี่ยวกับท่านอื่นใดที่ได้ให้ไว้หรือเกิดจากการใช้บริการกับบริษัท
ข้อมูลในเอกสารที่ทางราชการ/หน่วยงานภาครัฐออกให้ในการระบุตัวตนและการยืนยันตัวตน	– หมายเลขบัตรประจำตัวประชาชน – หมายเลขหนังสือเดินทาง – หมายเลขใบอนุญาตขับรถ – หมายเลขทะเบียนยานพาหนะ – หมายเลขใบอนุญาตการประกอบวิชาชีพ – หมายเลขประจำตัวผู้ประกันตน / ประกันสังคม – หมายเลขประจำตัวและข้อมูลในเอกสารอื่นใดที่หน่วยงานภาครัฐออกให้ เช่นรายละเอียดที่ปรากฏในสำเนาทะเบียนบ้าน
ข้อมูลเกี่ยวกับการศึกษา	– วุฒิการศึกษา และการเข้าศึกษา ผลการศึกษา ผลการสอบ – ใบอนุญาตสมาชิกภาพกับองค์กรวิชาชีพ ประกาศนียบัตรทางวิชาชีพ (เช่น สมาชิกสภาทนายความ)
ข้อมูลทางการเงิน และข้อมูลเกี่ยวกับ ความสัมพันธ์ของท่านกับบริษัท	– รายได้ ค่าตอบแทน แหล่งที่มาของรายได้ รายจ่าย – หมายเลขบัญชีที่มีกับสถาบันการเงิน ข – ข้อมูลเกี่ยวกับธุรกรรมของท่าน เช่น รายละเอียดการจ่ายเงิน ประวัติการทำธุรกรรมทางการเงิน ข
ข้อมูลเกี่ยวกับการจ้างงานและประวัติการทำงาน	– อาชีพ ตำแหน่ง ยศ สถานะวิชาชีพ – สถานภาพใบอนุญาตทำงาน – หมายเลขประจำตัวผู้เสียภาษี หมายเลขประจำตัวพนักงาน – ข้อเรียกร้องประกันภัย เงินทดแทนแรงงาน ประวัติการจ้างงาน (รวมถึง รายละเอียดเกี่ยวกับเงินเดือน ค่าตอบแทนการเข้างาน ค่าจ้าง โบนัส และผลประโยชน์ต่างๆ) รายละเอียดเกี่ยวกับนายจ้างและสถานที่ทํางาน วันที่ว่าจ้างให้ทำงาน การบอกเลิกจ้าง สถานที่ทำงานเดิม บริษัทที่ท่านทำงานหรือได้รับการว่าจ้างหรือบริษัทที่ท่านถือหุ้น – ประวัติการลา หรือขาดงาน – ข้อมูลการเบิกจ่ายเงิน และการใช้สวัสดิการ – สถานภาพทางการเมือง ความสัมพันธ์กับกรรมการ และบุคคลผู้มีอำนาจควบคุมของบริษัท ความสัมพันธ์กับนิติบุคคลอื่น (เช่น เป็นกรรมการ ผู้ถือหุ้น) และความสัมพันธ์อื่นๆ
ข้อมูลสิทธิประโยชน์ สวัสดิการ	– ข้อมูลด้านการเงินและภาษีอากร ข้อมูลการหักลดหย่อนภาษี – ข้อมูลเกี่ยวกับการประกันชีวิต ประกันสุขภาพ และประกันภัย – ข้อมูลเกี่ยวกับกองทุนสำรองเลี้ยงชีพ
ข้อมูลการเข้าใช้งาน ข้อมูลเกี่ยวกับการใช้ข้อมูลออนไลน์/ เว็ปไซต์ ข้อมูลเชิงเทคนิค ข้อมูลที่เก็บผ่านอุปกรณ์หรือเครื่องมือ	– ข้อมูลคุกกี้ (Cookie) และข้อมูลที่บริษัทได้เก็บรวบรวมผ่านคุกกี้ (Cookies) หรือเทคโนโลยีอื่นที่คล้ายคลึงกัน – ข้อมูลการเข้าใช้ระบบคอมพิวเตอร์ โทรศัพท์ของบริษัท รวมถึงประวัติการเข้าใช้อินเตอร์เน็ต ข้อมูลการใช้งานเว็บไซต์ แพลตฟอร์มของบริษัท (รวมถึงเนื้อหาที่ท่านเข้าชม ลิงก์ที่กดเข้าชม วันที่ และเวลาของการเข้าเยี่ยมชมเว็บไซต์ และฟังก์ชันที่ท่านใช้) – การระบุพิกัด ข้อมูลการเข้าถึงสื่อเสียง / ภาพวิดีทัศน์ / ภาพถ่าย / กล้อง ข้อมูลปฏิทิน ข้อมูลบันทึกการโทร สมุดบัญชีรายชื่อผู้ติดต่อ / ที่อยู่ ข้อความหรืออีเมล (เนื้อหาอีเมล) – หมายเลขประจำตัวเครื่อง (Unique Device Identifier: UDID) ที่อยู่ไอพี (IP Address) หรือข้อมูลเฉพาะ (unique identifier) สำหรับอุปกรณ์เคลื่อนที่ คอมพิวเตอร์ เทคโนโลยี หรืออุปกรณ์อื่นๆ ที่ท่านใช้เพื่อเข้าถึงเว็บไซต์หรือบริการออนไลน์ หรือแอปพลิเคชันของบริษัท – ข้อมูลประจำตัวในการล็อกอินรหัสที่ใช้เพื่อความปลอดภัย รหัสการเข้าถึงหรือรหัสผ่าน ชื่อบัญชีผู้ใช้งาน (Username) รหัสผ่านเข้าใช้บัญชี (Password) หมายเลข PIN รายละเอียดการเข้าถึง เวลาที่ใช้ในการเข้าถึง รายละเอียด Single Sign-on (SSO) รหัสผ่านสำหรับใช้ครั้งเดียว (OTP) Token และข้อความ SMS
ข้อมูลบันทึกการติดต่อระหว่างท่านกับบริษัทเพื่อใช้ประกอบการให้บริการ	– ข้อมูลบันทึกการสนทนาทางโทรศัพท์ระหว่างท่านกับบริษัท บันทึกข้อมูลเสียง บันทึกการใช้โทรศัพท์ – ข้อมูลที่ต้องเก็บรักษาเพื่อประโยชน์ในการฟ้องร้องดำเนินคดี
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว	– ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม – ข้อมูลสุขภาพ อาทิ ผลการตรวจสุขภาพ – ข้อมูลชีวภาพของท่าน (เช่น ข้อมูลจำลองลายนิ้วมือ)
ข้อมูลอื่นๆ	– การสำรวจความผูกพัน ความคิดเห็น และประสบการณ์ของบุคลากร – ข้อมูลเกี่ยวกับมุมมองและความคิดเห็นของท่าน เช่น ความชื่นชอบของท่านเกี่ยวกับสัญญาจ้างงาน / การฝึกอบรมและพัฒนา / การให้ทุนการศึกษา ข้อมูลเกี่ยวกับพฤติกรรม มุมมอง ข้อซักถาม และการแสดงความคิดเห็นของท่าน ที่ท่านให้ไว้กับบริษัทไม่ว่าผ่านช่องทางใดๆ – รายละเอียดเกี่ยวกับยานพาหนะ เช่น ยี่ห้อยานพาหนะ รุ่นรถ หมายเลขทะเบียนยานพาหนะ และรายละเอียดอื่นๆตามเอกสารทะเบียน

การเก็บรวบรวมข้อมูลส่วนบุคคลเป็นไปเท่าที่จำเป็น หากท่านไม่ให้ข้อมูลส่วนบุคคลของท่านแก่บริษัท บริษัทอาจไม่สามารถเสนอตำแหน่งงานให้แก่ท่านตามคำขอ อีกทั้ง บริษัทอาจไม่สามารถปฏิบัติหน้าที่ทุกประการที่บริษัทมีต่อท่านได้ หรือไม่สามารถปฏิบัติภาระผูกพันตามกฎหมายของบริษัทได้ หรือไม่สามารถปฏิบัติตามภาระผูกพันตามสัญญาจ้างงาน การบริหารค่าตอบแทน ผลการปฏิบัติงาน การบริหารสิทธิประโยชน์ การจ่ายเงินเดือน ค่าจ้าง และสิทธิประโยชน์ แรงงานสัมพันธ์ การพัฒนาองค์กร การฝึกอบรมและพัฒนา การประเมินบุคลิกภาพและภาวะผู้นำ ความสัมพันธ์ในการทำงานกับท่าน การสำรวจความผูกพัน ความคิดเห็นและประสบการณ์ของบุคลากรได้ เป็นต้น

ข้อมูลส่วนบุคคลของบุคคลภายนอก

บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลตามที่ระบุข้างต้นของบุคคลอื่นหรือบุคคลที่สาม เช่น บุคคลในครอบครัว (เช่นคู่สมรส บุตร) ญาติ ผู้อุปการะ ผู้อยู่ในอุปการะ ข้อมูลเกี่ยวกับสมาชิกในคณะกรรมการบริษัท/กรรมการ/ผู้ถือหุ้น/ผู้แทน/หัวหน้า ผู้จัดการ เพื่อนของท่าน หรือบุคคลอื่นใดที่ท่านแจ้งหรือแนะนำต่อบริษัท หากท่านได้ให้ข้อมูลส่วนบุคคลของบุคคลดังกล่าวแก่บริษัท ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามประกาศฉบับนี้ให้บุคคลดังกล่าวทราบ รวมถึงการขอความยินยอมจากบุคคลนั้นในกรณีที่กฎหมายกำหนดที่ต้องได้รับความยินยอม ตลอดจนตรวจสอบความถูกต้องและความครบถ้วนสมบูรณ์ของข้อมูลส่วนบุคคลที่ท่านให้ และแจ้งให้บริษัททราบถึงการเปลี่ยนแปลงของข้อมูลส่วนบุคคลที่ได้ให้ไว้กับบริษัท นอกจากนี้ ท่านมีหน้าที่ดำเนินการใดๆ เพื่อให้บริษัทสามารถเก็บรวบรวม ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคลของบุคคลนั้นได้โดยชอบด้วยกฎหมายตามที่ระบุไว้ในประกาศฉบับนี้

ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ และคนเสมือนไร้ความสามารถ

แหล่งที่มาของข้อมูลส่วนบุคคลของท่าน

(1) บริษัททำการเก็บรวบรวมข้อมูลส่วนบุคคลจากท่านโดยตรงผ่านช่องทางต่างๆ เช่น การเก็บข้อมูลส่วนบุคคลจากการกรอกข้อมูลส่วนบุคคลผ่านแบบฟอร์มการสมัครงานทั้งในรูปแบบกระดาษและรูปแบบออนไลน์ จากกระบวนการสรรหาและรับสมัครงาน และ แพลตฟอร์มในการสรรหาบุคลากร (รวมถึง ผู้จัดหางาน ผู้สรรหาบุคลากร เว็บไซต์เกี่ยวกับงาน) เอกสารแนบประกอบการพิจารณาและคัดเลือกเข้าทำงาน การตอบแบบสอบถาม (Survey) ของบริษัท หรือผ่านระบบโทรคมนาคม (เช่น ทางโทรศัพท์ ทางอีเมล ทางเว็บไซต์) แอปพลิเคชันหรือแพลตฟอร์มสำหรับการติดต่อสื่อสาร สื่อสังคมออนไลน์ หรือช่องทางอื่นๆ ที่ท่านใช้ในการติดต่อสื่อสารกับบริษัท รวมถึงการใช้งานกล้องโทรทัศน์วงจรปิด เมื่อท่านเข้าเยี่ยมชมสถานที่ของบริษัท

(2) บริษัทอาจได้รับข้อมูลส่วนบุคคลของท่านจากแหล่งอื่น เช่น ข้อมูลสาธารณะ การสืบค้นข้อมูลส่วนบุคคลผ่านระบบเว็บไซต์ หรือการสอบถามจากบุคคลที่สาม บุคคลที่มีความเกี่ยวเนื่องกับท่าน (เช่น ครอบครัวของท่าน เครือญาติ ผู้ค้าประกันการทำงาน เป็นต้น) บุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน บุคคลที่อยู่ในอุปการะ ผู้ที่มีสิทธิได้รับผลประโยชน์จากการจัดสวัสดิการต่าง ๆ ของบริษัท บุคคลที่ท่านอ้างอิงถึงในในใบสมัครงาน หรือสัญญาที่ท่านทำไว้กับบริษัท พันธมิตรทางธุรกิจของบริษัท แหล่งข้อมูลของทางการ หน่วยงานของรัฐที่มีฐานข้อมูลที่น่าเชื่อถือเกี่ยวกับบุคคล หน่วยงานภาครัฐ (เช่น ธนาคารแห่งประเทศไทย กรมสรรพากร สำนักงานป้องกันและปราบปรามการฟอกเงิน กระทรวงพาณิชย์) ศาล และจากบุคคลภายนอกอื่นใด (เช่น ผู้ที่แนะนำท่าน ผู้แทนของท่าน ผู้ค้า หรือบุคคลอื่นใดซึ่งได้รับมอบอำนาจจากท่าน)

ฐานในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน

(1) ฐานการปฏิบัติตามสัญญา เพื่อให้บริษัทสามารถปฏิบัติหน้าที่ และ/หรือดำเนินการอันจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งท่านเป็นคู่สัญญากับบริษัท หรือเพื่อดำเนินการตามขั้นตอนต่างๆ ตามที่ท่านร้องขอก่อนจะเข้าทำสัญญากับบริษัท เช่นการจ้างงาน การปฏิบัติตามสัญญาจ้าง ข้อบังคับเกี่ยวกับการทำงาน หรือการดำเนินการอื่นใดที่เกี่ยวข้องและจำเป็นกับสัญญาจ้างงาน เป็นต้น
(2) ฐานการปฏิบัติตามกฎหมาย เพื่อการปฏิบัติหน้าที่ตามกฎหมายของบริษัท เช่นเปิดเผยข้อมูลเงินเดือนของลูกจ้างต่อกรมสรรพากรตามประมวลรัษฎากร
(3) ฐานประโยชน์โดยชอบด้วยกฎหมาย กรณีมีความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือของบุคคลอื่น โดยที่ประโยชน์ดังกล่าวมีความสำคัญมากกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของท่าน เช่นการป้องกันอาชญากรรมและการฉ้อโกง
(4) ฐานการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(5) ฐานประโยชน์สาธารณะ สำหรับการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่บริษัทได้รับมอบหมาย
(6) ฐานความยินยอม สำหรับกรณีที่ไม่สามารถใช้ฐานทางกฎหมายอื่นใดได้ และบริษัทได้รับความยินยอมจากท่านในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด

วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

บริษัทเก็บรวบรวมข้อมูลของท่านเพื่อวัตถุประสงค์หลายประการ ทั้งนี้ ขึ้นอยู่กับลักษณะกิจกรรมหรือบริบทที่ท่านได้ติดต่อหรือทำธุรกรรมกับบริษัทด้วย ตลอดจนลักษณะความสัมพันธ์ระหว่างท่านและพันธมิตรทางธุรกิจของบริษัท และ/หรือ ข้อพิจารณาอื่นๆ ในแต่ละบริบท ทั้งนี้ วัตถุประสงค์ตามที่ได้ระบุไว้ต่อไปนี้ เป็นเพียงกรอบการใช้ข้อมูลของบริษัทในขณะที่ประกาศฉบับนี้ทำขึ้น โดยวัตถุประสงค์ที่เกี่ยวข้องกับท่านเท่านั้นที่จะมีผลกับการใช้ข้อมูลของท่าน ซึ่งรวมถึงแต่ไม่จำกัดเพียง

เพื่อตรวจสอบและพิจารณาคุณสมบัติของผู้สมัครงาน การบริหารจัดการในกระบวนการสรรหา การรับสมัครงาน คัดเลือกผู้สมัครงาน การสัมภาษณ์ การดำเนินการใด ๆ ที่เกี่ยวข้องกับการสมัครงาน และการทำสัญญาว่าจ้าง การติดต่อสื่อสารกับผู้สมัครงาน (เช่น การติดต่อท่านเกี่ยวกับตำแหน่งที่ท่านสมัคร การติดต่อเพื่อแจ้งให้ทราบว่าใบสมัครของท่านได้รับการอนุมัติหรือถูกปฏิเสธ) บุคลากร และ ผู้ที่เกี่ยวข้องกับบุคลากรของบริษัท รวมถึงการสอบถามข้อมูลจากบุคคลอ้างอิงที่ท่านได้ให้ข้อมูลไว้กับบริษัท
เพื่อการพิสูจน์ตัวตนและการลงนาม ตลอดจนการยืนยันตัวตนเมื่อท่านสมัครเข้าทำงานกับบริษัท
เพื่อการดำเนินการอื่นใดที่เกี่ยวข้องกับจ้างงาน และการบรรจุบุคลากรเข้าทำงาน เช่น การตรวจร่างกายก่อนเข้าทำงาน การระบุนามผู้รับผลประโยชน์ การขึ้นทะเบียนผู้ประกันตน การตรวจสอบประวัติอาชญากรรม การเข้าทำสัญญาจ้าง และการเข้าทำสัญญาผู้ค้ำประกันการทำงาน เป็นต้น
เพื่อการบริหารค่าตอบแทน การอนุมัติเงินเดือน การจ่ายเงินเดือน ค่าจ้าง โบนัส และสิทธิประโยชน์ใดๆ ผลการปฏิบัติงาน การบริหารสิทธิประโยชน์สำหรับบุคลากรของบริษัท การบริหารจัดการสวัสดิการบุคลากร ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ สวัสดิการการเบิกค่ารักษาพยาบาล การตรวจร่างกายประจำปี การประกันภัย และการเรียกค่าสินไหมทดแทนที่เกี่ยวข้องกับการประกันภัย
เพื่อแรงงานสัมพันธ์ การพัฒนาองค์กร การฝึกอบรมและพัฒนา การสนับสนุนให้พนักงานมีใบอนุญาต การให้ทุนการศึกษา การประเมินบุคลิกภาพ และภาวะการเป็นผู้นำ การสำรวจความผูกพัน ความคิดเห็นและประสบการณ์ของบุคลากร ความสัมพันธ์ในการทำงาน รวมทั้งการบริหารจัดการการฝึกอบรมบุคลากร ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ การรวบรวมรายชื่อผู้ที่มีความประสงค์จะเข้าฝึกอบรม และดำเนินการบริหารจัดการทางทะเบียน การลงทะเบียนหลักสูตรอบรม การจัดให้มีแผนการดำเนินการและแบบฝึกอบรม ตลอดจนการจัดสรรสิ่งอำนวยความสะดวกต่าง ๆ ที่เหมาะสมสำหรับการจัดฝึกอบรม
เพื่อดำเนินการตามกระบวนต่างๆ เกี่ยวกับการจ้างและการต้อนรับเข้าทำงาน จนถึงการเข้ามาทำงานในบริษัทตลอดระยะเวลาของการจ้างงานตามสัญญาจ้างแรงงาน ข้อตกลงการว่าจ้าง หรือสัญญาอื่นใด ซึ่งท่านเข้าทำสัญญากับบริษัทตามสัญญาจ้างงาน หรือสัญญาอื่นใดอันเกี่ยวเนื่องกับการว่าจ้าง เช่น การจัดทำทะเบียนพนักงาน การจัดทำข้อมูลพนักงาน การจัดทำบัตรพนักงาน การประเมินการทดลองงาน ประเมินผลการปฏิบัติงานประจำปี การปรับปรุงข้อมูลพนักงาน การบริหารจัดการวันหยุดพักผ่อนประจำปี การลางานประเภทต่าง ๆ การแจ้งตั้งครรภ์ การขอหนังสือรับรอง การลาออก รวมถึงการดำเนินการตามแบบคำร้องขออื่น ๆ ของท่าน เป็นต้น
เพื่อดำเนินการตามกฎหมายที่เกี่ยวข้องกับบริษัท ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ กฎหมายแรงงาน กฎหมายว่าด้วยการประกันสังคม กฎหมายภาษีอากร (เช่น การหักภาษี ณ ที่จ่าย ตามกฎหมายว่าด้วยภาษีอากร) การส่งข้อมูลส่วนบุคคลของบุคลากรให้แก่หน่วยงานของรัฐที่เกี่ยวข้อง เช่น กรมสรรพากร สำนักงานประกันสังคม

เพื่อการปฏิบัติตามหน้าที่ตามกฎหมาย กระบวนการพิจารณาทางกฎหมาย หรือคำสั่งของเจ้าหน้าที่รัฐ และ/หรือการให้ความร่วมมือกับศาล หน่วยงานกำกับดูแล เจ้าหน้าที่รัฐ และหน่วยงานบังคับใช้กฎหมายเมื่อบริษัทมีเหตุผลอันสมควรให้เชื่อว่าบริษัทมีหน้าที่ตามกฎหมายที่ต้องกระทำเช่นนั้น และเมื่อบริษัทจำเป็นอย่างยิ่งที่ต้องเปิดเผยข้อมูลของท่านเพื่อปฏิบัติหน้าที่ตามกฎหมาย กระบวนพิจารณาทางกฎหมาย หรือคำสั่งของเจ้าหน้าที่รัฐ

เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้ซึ่งสิทธิเรียกร้องของบริษัท ในขั้นตอนต่าง ๆตามกฎหมาย เช่น การสอบสวนและ/หรือการไต่สวนโดยเจ้าหน้าที่รัฐ การเตรียมคดี การดำเนินคดี และ/หรือการต่อสู้คดีในชั้นศาล เป็นต้น
การตรวจสอบดูแลความสงบเรียบร้อยและการรักษาความปลอดภัย (เช่น การบันทึกภาพ CCTV ลงทะเบียน แลกบัตร และ/หรือบันทึกภาพ ผู้ติดต่อก่อนเข้าบริเวณสถานที่ของบริษัท) เพื่อการตรวจสอบดูแล ป้องกัน หรือระงับเหตุการณ์ใด ๆ ที่อาจเป็นอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ตลอดจน เพื่อป้องกันการสูญหาย หรือเสียหายในทรัพย์สินของบริษัท หรือใช้เพื่อติดตามเอาคืนทรัพย์สิน หรือเรียกให้ชดใช้ค่าเสียหาย ในกรณีที่มีการทำให้ทรัพย์สินของบริษัท สูญหาย หรือเสียหาย เป็นต้น
เพื่อการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและการบริหารจัดการระบบเทคโนโลยีสารสนเทศ การตรวจสอบยืนยันตัวตน การควบคุมการเข้าถึง และการบันทึกหรือลบ/ทำลายข้อมูลที่เกี่ยวข้องกับท่านและบริษัท (เช่น การกำหนดสิทธิหรือควบคุมสิทธิในการเข้าถึงระบบงาน และข้อมูลสำคัญต่างๆ ของบริษัท และ/หรือการทำลายข้อมูลในอุปกรณ์ที่ได้รับแจ้งว่าสูญหายหรือถูกขโมย) การติดตามตรวจสอบระบบอุปกรณ์และอินเทอร์เน็ต การบันทึกเวลาการทำงาน ตรวจสอบสิทธิ์การเข้าถึงและล็อกอิน และการพิสูจน์ตำแหน่งที่ท่านอยู่ เพื่ออนุญาตการเข้าถึงบัญชีของท่าน ตลอดจน การป้องกันและแก้ปัญหาอาชญากรรม การบริหารจัดการความเสี่ยงและการป้องกันการทุจริตฉ้อฉล การปฏิบัติตามนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ
เพื่อการบริหารจัดการภายในองค์กรและการบริหารจัดการทรัพยากรบุคคลในเรื่องอื่น ๆ เช่น การจัดหาระบบเทคโนโลยีสารสนเทศและการสนับสนุน (เช่น การให้สิทธิในการเข้าถึงเครื่องมือทางเทคโนโลยีสารสนเทศ ระบบของบริษัท การอำนวยความสะดวก จัดหาเครื่องมือและอุปกรณ์ การใช้งานอินเทอร์เน็ต อีเมล์ภายในบริษัท เป็นต้น) การบำรุงรักษาและปรับปรุงข้อมูลให้เป็นปัจจุบัน การรักษาให้ข้อมูลถูกต้องและสมบูรณ์ตรงตามข้อเท็จจริง การติดตามการดำเนินการเกี่ยวกับข้อร้องเรียน ข้อเรียกร้องเกี่ยวกับการทุจริตฉ้อฉล การลงโทษทางวินัย การบันทึกประวัติการถูกลงโทษทางวินัยของบุคลากรที่ฝ่าฝืนระเบียบหรือข้อบังคับการทำงาน การออกหนังสือรับรอง การยุติ/การเลิกจ้าง การลาออก การสัมภาษณ์กรณีออกจากงาน และการเกษียณ
เพื่อการติดตามตรวจสอบเกี่ยวกับความปลอดภัยภายในบริษัท การบริหารจัดการและป้องกันการสูญหายของสินทรัพย์ส่วนตัวและทรัพย์สินของบริษัท การบริหารจัดการความเสี่ยง การตรวจสอบภายใน การบันทึกข้อมูลของท่าน การบริหารจัดการสินทรัพย์และระบบงานต่างๆ (เช่น การขอใช้สิทธิ/รับ/คืน/เปลี่ยนทรัพย์สินของบริษัท ) รวมถึง การใช้สิทธิของบริษัทหรือการรักษาสิทธิประโยชน์ของบริษัทในกรณีที่มีความจำเป็นและโดยชอบด้วยกฎหมายที่จะกระทำเช่นนั้น เช่น การตรวจสอบ การป้องกัน การป้องกันหรือการระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล และการรักษาความปลอดภัยให้แก่บริษัท
เพื่อการดำเนินการอื่นใดที่จำเป็น และเป็นประโยชน์ต่อท่าน เช่น การวิเคราะห์ข้อมูลภายใน

นอกจากนี้ บริษัทอาจเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวของท่าน เช่น ข้อมูลสุขภาพ ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม ข้อมูลชีวภาพ เมื่อท่านได้ให้ความยินยอมโดยชัดแจ้งกับบริษัท เว้นแต่ในกรณีที่มีวัตถุประสงค์เพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย ยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย ปฏิบัติตามหรือใช้สิทธิเรียกร้องตามกฎหมาย ตลอดจนเพื่อปฏิบัติหน้าที่ตามกฎหมาย เพื่อประโยชน์สาธารณะที่สำคัญ หรือในกรณีอื่นใดที่กฎหมายกำหนดและได้อนุญาตไว้ เพื่อวัตถุประสงค์ดังต่อไปนี้ด้วย

ข้อมูลสุขภาพของท่าน เพื่อวัตถุประสงค์ในการบริหารจัดการสวัสดิการและผลประโยชน์บุคลากร การบริหารจัดการเกี่ยวกับประวัติการลาหยุด การจ่ายเงินเดือน ค่าจ้าง ตลอดจนการดำเนินการใด ๆ ที่จำเป็นและเกี่ยวข้องกับจ้างงาน เป็นต้น ทั้งนี้ ข้อมูลสุขภาพของท่านอาจรวมถึงแต่ไม่จำกัดเพียง ผลการตรวจสุขภาพประจำปี ข้อมูลในการรับการตรวจรักษาที่โรงพยาบาล ข้อมูลเกี่ยวกับการรักษาพยาบาล การวินิจฉัยโรค ประวัติการรักษาพยาบาล ข้อมูลเกี่ยวกับการชำระเงินค่ารักษาพยาบาล ข้อมูลเกี่ยวกับการใช้สิทธิเรียกร้องค่าสินไหมกรณีรักษาพยาบาล ข้อมูลสุขภาพ ประวัติสุขภาพของครอบครัว และประวัติอาการเจ็บป่วย
ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมของท่าน เพื่อพิจารณาการสรรหาและจ้างงาน หรือตรวจสอบคุณสมบัติ ลักษณะต้องห้ามตามที่กฎหมายหรือประกาศที่เกี่ยวข้องกำหนดให้ต้องตรวจสอบในการสรรหาและพิจารณาแต่งตั้งให้ดำรงตำแหน่งกรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ ผู้บริหารของบริษัท
ข้อมูลชีวภาพของท่าน (เช่น ข้อมูลจำลองลายนิ้วมือ) เพื่อตรวจสอบและยืนยันตัวตนของท่านสำหรับเข้าอาคาร สำนักงานของบริษัท
กรณีบริษัทได้รับสำเนาบัตรประจำตัวประชาชน หรือเอกสารอื่นใดของท่าน เพื่อวัตถุประสงค์ในการพิสูจน์ยืนยันตัวตนในการก่อนิติสัมพันธ์ทางกฎหมาย และ/หรือการทำธุรกรรมใด ๆ กับบริษัท เช่น เพื่อใช้เป็นเอกสารประกอบการเข้าทำสัญญาจ้างงานตามสัญญาจ้างแรงงาน ข้อตกลงการว่าจ้าง หรือสัญญาอื่นใด ซึ่งท่านเข้าทำสัญญากับบริษัท หรือเพื่อตรวจสอบตัวตนของท่าน บริษัทอาจได้รับข้อมูลศาสนา หมู่โลหิต หรือข้อมูลส่วนบุคคลที่มีความอ่อนไหวโดยมิอาจหลีกเลี่ยงได้ ซึ่งบริษัทไม่มีนโยบายในการจัดเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์ดังกล่าวจากท่าน ยกเว้นกรณีที่บริษัทได้รับความยินยอม หรือมีฐานทางกฎหมายอื่นในการประมวลผล ทั้งนี้ ในกรณีที่บริษัทได้รับข้อมูลศาสนา หมู่โลหิต หรือข้อมูลส่วนบุคคลที่มีความอ่อนไหวที่ปรากฏในเอกสารแสดงตัวตน โดยที่ท่านไม่ได้ให้ความยินยอมหรือไม่ได้ทำการปกปิดไว้หรือบริษัทไม่มีฐานทางกฎหมายในการประมวลผลท่านรับทราบและเข้าใจว่าบริษัทจะรักษาความปลอดภัยของข้อมูลเกี่ยวกับศาสนา หมู่โลหิต หรือข้อมูลส่วนบุคคลที่มีความอ่อนไหวของท่านตามกฎหมายที่บังคับใช้ และตามวิธีการจัดการข้อมูลส่วนบุคคลที่มีความอ่อนไหวที่เหมาะสม เช่น การถมดำ ระบายทึบหรือปิดทึบข้อมูลส่วนบุคคลที่มีความอ่อนไหวบนสำเนาบัตรประจำตัวประชาชนที่ถ่ายสำเนาไว้แล้ว หรือในเอกสารที่มีข้อมูลส่วนบุคคลที่มีความอ่อนไหว

ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย

(1) หน่วยงานของรัฐที่มีอำนาจตามกฎหมาย หน่วยงานกำกับดูแล หรือหน่วยงานอื่นตามที่กฎหมายกำหนด

บริษัทอาจเปิดเผย ส่ง และ/หรือโอนข้อมูลส่วนบุคคลของท่านไปยังหน่วยงานของรัฐ หน่วยงานกำกับดูแล หรือศาล กรมสรรพากร สำนักงานประกันสังคม สำนักงานป้องกันและปราบปรามการฟอกเงิน สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการป้องกันและปราบปรามยาเสพติด กรมบังคับคดี ธนาคารแห่งประเทศไทย ตามที่กฎหมายกำหนด และบริษัท ข้อมูลเครดิตแห่งชาติ จำกัด เป็นต้น

(2) ผู้ให้บริการภายนอก และพันธมิตรทางธุรกิจ

การส่งหรือโอนข้อมูลของท่านไปยังต่างประเทศ

ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน

(1) ตามระยะเวลาที่กฎหมายกำหนดเกี่ยวกับการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ (เช่น พระราชบัญญัติการบัญชี พ.ศ. 2543 ประมวลรัษฎากร) หรือเก็บรวบรวมไว้ตลอดระยะเวลาที่ต้องปฏิบัติตามกฎหมาย ตามอายุความ หรือเพื่อบังคับการให้เป็นไปตามกฎหมายที่อยู่ในความรับผิดชอบของบริษัท
(2) ในกรณีที่กฎหมายไม่ได้กำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ บริษัทจะกำหนดระยะเวลาในการจัดเก็บตามความจำเป็นที่เหมาะสมในการปฏิบัติงานของบริษัท เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพ

สิทธิของท่านในฐานะเจ้าของข้อมูลส่วนบุคคล

สิทธิในการเพิกถอนความยินยอม (right to withdraw consent) ในกรณีที่ท่านได้เคยให้ความยินยอมไว้กับบริษัท ท่านมีสิทธิขอเพิกถอนความยินยอมเมื่อใดก็ได้ ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของท่านอยู่กับบริษัท เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่ท่าน ทั้งนี้ การถอนความยินยอมจะไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมไปแล้วโดยชอบด้วยกฎหมาย
สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right to access) ท่านมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของท่านและขอให้บริษัททำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้แก่ท่าน และข้อมูลที่เกี่ยวกับสภาพแห่งข้อมูลส่วนบุคคลของท่าน รวมทั้งขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ท่านไม่ได้ให้ความยินยอม
สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification) หากท่านเห็นว่าข้อมูลส่วนบุคคลของท่านไม่ถูกต้อง ไม่เป็นปัจจุบัน หรือไม่สมบูรณ์ ท่านมีสิทธิขอให้แก้ไขข้อมูลส่วนบุคคลของท่านดังกล่าวให้เป็นไปอย่างถูกต้อง เป็นปัจจุบัน และสมบูรณ์ครบถ้วนได้
สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล (right to erasure) ท่านมีสิทธิในการขอให้บริษัทลบหรือทำลายข้อมูลส่วนบุคคลของท่าน ตลอดจนการทำให้ข้อมูลส่วนบุคคลของท่านอยู่ในลักษณะของข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ เว้นแต่ในกรณีที่กฎหมายอนุญาตให้บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน เช่น เพื่อก่อตั้งสิทธิเรียกร้อง ปฏิบัติตามหรือใช้สิทธิเรียกร้อง หรือต่อสู้ข้อเรียกร้องสิทธิ หรือปฏิบัติตามกฎหมาย
สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing) ท่านมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลของท่านด้วยเหตุบางประการได้ เช่น ในกรณีที่ท่านพบว่าข้อมูลส่วนบุคคลของท่านไม่ถูกต้อง ท่านอาจใช้สิทธิระงับการใช้ข้อมูลส่วนบุคคลดังกล่าวจนกว่าจะมีการแก้ไขให้ถูกต้อง
สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability) ในกรณีที่กฎหมายได้ให้สิทธิไว้ ท่านมีสิทธิขอให้บริษัทส่งหรือโอนข้อมูลส่วนบุคคลที่อยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลได้ด้วยวิธีการอัตโนมัติ รวมทั้งการส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติหรือขอรับข้อมูลส่วนบุคคลที่บริษัทส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object) ท่านมีสิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลที่เกี่ยวกับตนได้

การรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคล

การใช้คุกกี้

ลิงก์เชื่อมต่อไปยังเว็บไซต์ของบุคคลภายนอก https://quickerpthailand.com/privacy-policy/ สำหรับผู้ใช้งานเว็บไซต์ บริการของบริษัทอาจมีลิงก์เชื่อมต่อไปยังเครือข่ายสังคมออนไลน์ แพลตฟอร์ม และเว็บไซต์อื่นที่มีบุคคลภายนอกเป็นผู้ดำเนินการ บริษัทพยายามที่จะเชื่อมต่อไปยังเว็บไซต์ที่มีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลเท่านั้น อย่างไรก็ตาม บริษัทไม่สามารถรับผิดชอบในเนื้อหาหรือมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์อื่นนั้น เว้นแต่จะกำหนดไว้เป็นประการอื่น ข้อมูลส่วนบุคคลใดที่ท่านให้แก่เว็บไซต์ของบุคคลภายนอกนั้นจะถูกเก็บรวบรวมโดยบุคคลดังกล่าวและอยู่ภายใต้ประกาศ / นโยบายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบุคคลภายนอกดังกล่าว (หากมี) ในกรณีเช่นว่านี้ บริษัทไม่อาจควบคุมและไม่อาจรับผิดชอบในการใช้ข้อมูลส่วนบุคคลของท่านโดยบุคคลภายนอกดังกล่าว

ข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม

วิธีการติดต่อบริษัท

รายละเอียดผู้ควบคุมข้อมูลส่วนบุคคล

ชื่อ : บริษัท ควิก อีอาร์พี จำกัด

สถานที่ติดต่อ : เลขที่ 5 หัวหมาก 9 แขวงหัวหมาก เขตบางกะปิ กรุงเทพมหานคร 10240

ช่องทางการติดต่อ : www.quickerpthailand.com

รายละเอียดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

ชื่อ : ณัชชาพัชร์ พรศิริภัสร์

สถานที่ติดต่อ : เลขที่ 5 หัวหมาก 9 แขวงหัวหมาก เขตบางกะปิ กรุงเทพมหานคร 10240

ช่องทางการติดต่อ : DPO@quickerpthailand.com

IT Policy Notice ประกาศนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ

นโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ

เพื่อให้ระบบเทคโนโลยีสารสนเทศและระบบเครือข่าย และคอมพิวเตอร์ของบริษัท ควิก อีอาร์พี จำกัด (“บริษัทฯ”) ที่ใช้ระบบสารสนเทศและระบบเครือข่ายและคอมพิวเตอร์เป็นไปอย่างเหมาะสม มีความมั่นคงปลอดภัยและสามารถสนับสนุนการดำเนินงานของบริษัทฯ ได้อย่างต่อเนื่อง มีการใช้งานระบบในลักษณะที่ถูกต้องสอดคล้องกับข้อกำหนดของกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และกฎหมายอื่นที่เกี่ยวข้อง รวมทั้งเป็นการป้องกันภัยคุกคามที่อาจก่อให้เกิดความเสียหายแก่บริษัทฯ

นโยบายฉบับนี้มีผลบังคับใช้กับกรรมการ ผู้บริหาร และพนักงานทุกท่านในบริษัทฯ รวมถึงบุคคลภายนอกที่เกี่ยวข้องกับการใช้ข้อมูลเทคโนโลยีสารสนเทศของบริษัทฯ ทั้งนี้ บริษัทฯ กำหนดให้มีการสื่อสารนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ แก่เจ้าหน้าที่ ผู้ปฏิบัติงาน และผู้ที่เกี่ยวข้องกับระบบสารสนเทศได้รับทราบ เพื่อให้เกิดความเข้าใจในความเสี่ยง และปฏิบัติตามนโยบายฉบับนี้

คํานิยาม

คํานิยามในส่วนนี้เป็นการให้คําจำกัดความสำหรับศัพท์ที่ใช้งานในนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศฉบับนี้ เพื่อให้มีความหมายที่ชัดเจนและเข้าใจตรงกัน

“บริษัทฯ” หมายความว่า บริษัท ควิก อีอาร์พี จำกัด ที่ใช้ระบบสารสนเทศ และระบบเครือข่ายและคอมพิวเตอร์
“ฝ่ายทรัพยากรบุคคล” หมายความว่า ฝ่ายทรัพยากรบุคคล ของ บริษัท ควิก อีอาร์พี จำกัด ซึ่งดูแล การบริหารจัดการด้านทรัพยากรบุคคล ของบริษัทฯ
“ฝ่ายเทคโนโลยีสารสนเทศ” หมายความว่า ฝ่ายเทคโนโลยีสารสนเทศของบริษัทฯ
“ผู้ใช้งาน” หมายความว่า พนักงาน ผู้ใช้งาน ที่ได้รับอนุญาตให้สามารถเข้าใช้งานระบบเครือข่ายของบริษัทฯ
“ผู้บริหาร” หมายความว่า ประธานเจ้าหน้าที่บริหาร (CEO) หรือผู้ดำรงตำแหน่งระดับบริหารสี่รายแรกนับต่อจากประธานเจ้าหน้าที่บริหาร (CEO) ลงมา และผู้ซึ่งดำรงตำแหน่งเทียบเท่ากับผู้ดำรงตำแหน่งระดับบริหารรายที่สี่ทุกราย และให้หมายความรวมถึงผู้ดำรงตำแหน่งระดับบริหารในสายงานบัญชีหรือการเงินที่เป็นระดับผู้จัดการฝ่ายขึ้นไปหรือเทียบเท่า และให้หมายความรวมถึงกรรมการผู้จัดการตามมาตรา 89/1 ด้วย
“ผู้ใช้งานภายนอก” หมายความว่า บุคคล หรือนิติบุคคลที่เป็นคู่สัญญาของบริษัทฯ ที่เข้ามาดำเนินกิจกรรมภายในบริษัทฯ หรือเป็นผู้ใช้งานภายนอกที่ได้รับอนุญาตให้สามารถเข้าใช้งานระบบเครือข่ายของบริษัทฯ

“ผู้ดูแลระบบ” หมายความว่า ประธานเจ้าหน้าที่สายงานเทคโนโลยีสารสนเทศหรือผู้ใช้งานอื่น ที่ได้รับมอบหมายจากผู้บังคับบัญชาระดับประธานเจ้าหน้าที่สายงานเทคโนโลยีสารสนเทศ (Chief Technology Officer) ขึ้นไป ให้มีหน้าที่รับผิดชอบในการพัฒนา แก้ไข ปรับปรุง และดูแล รักษาระบบสารสนเทศ และระบบเครือข่าย ที่ใช้งานอยู่ในบริษัท หรือหน่วยงานที่มีหน้าที่ และรับผิดชอบในการดูแลระบบสารสนเทศ และระบบเครือข่าย โดยตรง
“สารสนเทศ” หมายความว่า ข้อมูลที่ผ่านการประมวลผลแล้ว การจัดระเบียบให้ข้อมูลซึ่งอยู่ในรูปตัวเลข ข้อความหรือกราฟิก ให้อยู่ในลักษณะที่ผู้ใช้งานสามารถเข้าใจได้ง่าย และสามารถนำไปใช้ประโยชน์ในการบริหาร การวางแผน การตัดสินใจ และอื่น ๆ ได้
“ข้อมูล” หมายความว่า ข้อมูล ข้อความ คำสั่ง ชุดคำสั่ง หรือสิ่งอื่นใดบรรดาที่อยู่ในระบบคอมพิวเตอร์ในสภาพที่ระบบคอมพิวเตอร์อาจประมวลผลได้ และให้หมายความรวมถึงข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ด้วย
“ระบบสารสนเทศ” หมายความว่า ระบบงานของบริษัทฯ ที่ใช้จัดเก็บ ประมวลผลข้อมูล และเผยแพร่สารสนเทศซึ่งทำงานประสานกันระหว่างฮาร์ดแวร์ ซอฟท์แวร์ ข้อมูล ผู้ใช้งาน และกระบวนการประมวลผล ให้เกิดเป็นข้อมูลสารสนเทศที่สามารถนําไปใช้ประโยชน์ในการวางแผน การบริหาร และการสนับสนุนกลไกการทำงานของบริษัทฯ
“ระบบเครือข่าย” หมายความว่า ระบบที่สามารถใช้ในการติดต่อสื่อสาร หรือการส่งข้อมูลและสารสนเทศระหว่างระบบเทคโนโลยีสารสนเทศต่าง ๆ ของบริษัทฯ ได้ เช่น ระบบ LAN ระบบ Wireless ระบบ Intranet ระบบ Internet และระบบการสื่อสารอื่น ๆ
“ทรัพย์สิน” หมายความว่า ทรัพย์สินหรือสิ่งใดก็ตามทั้งที่มีตัวตนและไม่มีตัวตนอันมีมูลค่าหรือคุณค่าสำหรับบริษัทฯ ได้แก่ ข้อมูล ระบบข้อมูล และทรัพย์สินด้านเทคโนโลยีสารสนเทศและการสื่อสาร อาทิ บุคลากร ฮาร์ดแวร์ ซอฟท์แวร์ คอมพิวเตอร์ เครื่องคอมพิวเตอร์แม่ข่าย ระบบสารสนเทศ ระบบเครือข่าย อุปกรณ์ระบบเครือข่าย เลขไอพี หรือซอฟท์แวร์ที่มีลิขสิทธิ์ หรือสิ่งใดก็ตามที่มีคุณค่าต่อบริษัทฯ
“ความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ” หมายความว่า ความมั่นคงและความปลอดภัยสำหรับระบบเทคโนโลยีสารสนเทศ ระบบเครือข่ายของบริษัทฯ โดยธํารงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของสารสนเทศ รวมทั้งคุณสมบัติอื่น ได้แก่ ความถูกต้องแท้จริง (Authenticity) ความรับผิดชอบ (Accountability) การห้าม ปฏิเสธความรับผิดชอบ (Non-Repudiation) และความน่าเชื่อถือ (Reliability)
“สิทธิ์ของผู้ใช้งาน” หมายความว่า ระดับชั้นของการเข้าถึงข้อมูลสารสนเทศของผู้ใช้งาน และผู้ใช้งานภายนอก ได้แก่ สิทธิ์ทั่วไป สิทธิ์พิเศษ และสิทธิ์อื่นใดที่เกี่ยวข้องกับระบบสารสนเทศ และระบบเครือข่ายของบริษัทฯ
“การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ” หมายความว่า การอนุญาต การกำหนดสิทธิ์ หรือการมอบอำนาจให้ผู้ใช้งาน เข้าถึงหรือใช้งานระบบเครือข่าย หรือระบบสารสนเทศ ทั้งทางอิเล็กทรอนิกส์และทางกายภาพ ตลอดจนกำหนดข้อปฏิบัติเกี่ยวกับการเข้าถึงโดยมิชอบ
“บัญชีผู้ใช้งาน” หมายความว่า บัญชีรายชื่อ (Username) และรหัสผ่าน (Password) สำหรับผู้ใช้งาน และผู้ใช้งานภายนอก
“เหตุการณ์ด้านความมั่นคงปลอดภัย” หมายความว่า กรณีที่ระบุการเกิดเหตุการณ์ สภาพของบริการ หรือ เครือข่ายที่แสดงให้เห็นความเป็นไปได้ ที่จะเกิดการฝ่าฝืนนโยบายด้านความมั่นคงปลอดภัย หรือมาตรการป้องกันที่ล้มเหลว หรือเหตุการณ์อันไม่อาจรู้ได้ว่าอาจเกี่ยวข้องกับความมั่นคงปลอดภัย
“สถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจคาดคิด” หมายความว่า สถานการณ์ซึ่งอาจทำให้ระบบของบริษัทถูกบุกรุกหรือโจมตี และความมั่นคงปลอดภัยถูกคุกคาม
“การเข้ารหัส (Encryption)” หมายความว่า การนําข้อมูลมาเข้ารหัสเพื่อป้องกันการลักลอบเข้ามาใช้ ข้อมูลผู้ที่สามารถเปิดไฟล์ข้อมูลที่เข้ารหัสไว้ จะต้องมี โปรแกรมถอดรหัสเพื่อให้ข้อมูลกลับมาใช้งานได้ตามปกติ
“การยืนยันตัวตน (Authentication)” หมายความว่า ขั้นตอนการรักษาความปลอดภัยในการเข้าใช้ระบบสารสนเทศ และระบบเครือข่าย ซึ่งเป็นขั้นตอนในการพิสูจน์ตัวตนของผู้ใช้บริการระบบทั่วไปแล้ว เป็นการพิสูจน์โดยใช้ชื่อผู้ใช้และรหัสผ่าน
“SSL (Secure Socket Layer)” หมายความว่า เทคโนโลยีการเข้ารหัสข้อมูล เพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ต ระหว่างเครื่องเซิร์ฟเวอร์กับเว็บเบราว์เซอร์หรือ Application ที่ใช้งาน
“VPN (Virtual Private Network)” หมายความว่า เครือข่ายคอมพิวเตอร์เสมือนส่วนตัว โดยใช้การรับส่งข้อมูลจริง ซึ่งในการรับส่งข้อมูลจะทำการเข้ารหัสเฉพาะ โดยผ่านเครือข่ายอินเทอร์เน็ตทำให้บุคคลอื่นไม่สามารถอ่านได้ และมองไม่เห็นข้อมูลนั้นไปจนถึงปลายทาง

หมวดที่ 1 การกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศ ระดับองค์กรที่ดี

(Governance of Enterprise IT)

การกำกับดูแลด้านเทคโนโลยีสารสนเทศ มีจุดมุ่งหมายเพื่อทำให้แน่ใจว่า บริษัทฯ สามารถบรรลุเป้าหมายที่กำหนดไว้ โดยนำเทคโนโลยีสารสนเทศมาใช้เป็นเครื่องมือในการสนับสนุน และสามารถบริหารจัดการความเสี่ยงที่อาจเกิดขึ้นจากการนำเทคโนโลยีสารสนเทศมาใช้งานได้อย่างมีประสิทธิภาพ การบริหารจัดการด้านเทคโนโลยีสารสนเทศที่ดีนั้นต้องมีการเชื่อมโยงระหว่างกระบวนการบริหารงานด้านเทคโนโลยีสารสนเทศ ทรัพยากรและข้อมูลที่มีประสิทธิภาพเพื่อสนับสนุนนโยบาย กลยุทธ์ เป้าหมายขององค์กรและการบริหารความเสี่ยงที่เหมาะสม รวมทั้งมีการรายงานและติดตามการดำเนินงาน เพื่อให้มั่นใจว่า เทคโนโลยีที่บริษัทฯ นำมาใช้งาน สามารถช่วยสนับสนุนกลยุทธ์และบรรลุวัตถุประสงค์ในเชิงธุรกิจและสร้างศักยภาพในการแข่งขัน รวมทั้งเพิ่มมูลค่าให้กับบริษัทฯ โดยบริษัทฯ ต้องพิจารณาดำเนินการอย่างน้อยดังต่อไปนี้

การรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT Security Policy)

บริษัทฯ ต้องจัดให้มีนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศเป็นลายลักษณ์อักษร และบริษัทฯ ต้องทำการสื่อสารนโยบายดังกล่าวเพื่อสร้างความเข้าใจและสามารถปฏิบัติตามได้อย่างถูกต้อง โดยเฉพาะอย่างยิ่งระหว่างหน่วยงานด้านเทคโนโลยีสารสนเทศและหน่วยงานด้านอื่นภายในบริษัทฯ เพื่อให้มีการประสานงานและสามารถดำเนินธุรกิจได้ตามเป้าหมายที่ตั้งไว้
บริษัทฯ ต้องจัดให้มีการทบทวนนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีผลกระทบต่อการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศของบริษัทฯ

การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management) ต้องสอดคล้องกับนโยบายการบริหารความเสี่ยงองค์กร (Corporate Risk Management) และครอบคลุมในเรื่องดังต่อไปนี้

การกำหนดหน้าที่และความรับผิดชอบในการบริหารและจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ

ผู้จัดการฝ่ายเทคโนโลยีสารสนเทศมีหน้าที่รับผิดชอบในการศึกษา จัดหาวิธีการหรือแนวทางด้านเทคโนโลยีสารสนเทศเพื่อลดความเสี่ยงหรือจัดการความเสี่ยงที่มีอยู่ แล้วนำเสนอให้กับผู้บริหารเพื่อพิจารณาในการจัดการความเสี่ยงด้านระบบเทคโนโลยีสารสนเทศ

การระบุความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (Information Technology Related Risk) ควรครอบคลุมความเสี่ยงสำคัญ เช่น
- ระบบสารสนเทศเกิดความเสียหายและไม่สามารถใช้งานได้จนกระทบต่อการดำเนินธุรกิจของบริษัทฯ ได้แก่
ระบบเครือข่าย ระบบอินเทอร์เน็ตล่มหรือมีปริมาณการใช้งานในระบบเครือข่ายพร้อมกันจำนวนมาก จนเครือข่ายหยุดชะงัก
ผู้ให้บริการระบบ Cloud จากผู้ให้บริการภายนอกไม่สามารถใช้งานได้
เกิดภัยพิบัติทางธรรมชาติรุนแรง ไม่สามารถควบคุมได้ เช่น อุทกภัยวาตภัย อัคคีภัย แผ่นดินไหว อาคารพังถล่ม เป็นต้น
กระแสไฟฟ้าขัดข้อง
- การนำระบบสารสนเทศไปใช้ผิดวัตถุประสงค์ และ อาจทำให้เกิดความเสียหาย ได้แก่
ระบบปฏิบัติการไม่สามารถใช้งานได้
ติด Ransomware มีไวรัสคอมพิวเตอร์ สปายแวร์ โทรจัน เข้าสู่ระบบ
มีSoftware รบกวนการทำงานของระบบ
ข้อมูลหรือระบบฐานข้อมูลหรือแฟ้มข้อมูลเสียหายหรือสูญหาย
ละเมิดลิขสิทธิ์ Software หรือใช้คอมพิวเตอร์ของบริษัทฯ นำเข้าข้อมูลที่ไม่เหมาะสมบนเครือข่าย Social
ห้อง Server มีบุคคลที่ไม่ได้รับอนุญาติเข้าไปในพื้นที่
การรั่วไหลของข้อมูลสำคัญของลูกค้า เช่น ข้อมูลส่วนบุคคล หรือข้อมูลความลับทางการค้าของลูกค้า ซึ่งหากเกิดการรั่วไหลของข้อมูล อาจทำให้บริษัทฯ ถูกฟ้องร้องเรียกค่าเสียหาย จนกระทบต่อผลการดำเนินงานของบริษัทฯ ได้
การกำหนดวิธีการหรือเครื่องมือในการบริหารและจัดการความเสี่ยงให้อยู่ในระดับที่บริษัทฯ ยอมรับได้

จัดทำตารางลักษณะรายละเอียดความความเสี่ยง (Description of Risk) โดยมีหัวเรื่อง ชื่อความเสี่ยง ประเภทความเสี่ยง ลักษณะความเสี่ยง ปัจจัยความเสี่ยง และผลกระทบ เป็นต้น กำหนดระดับโอกาสการเกิดเหตุการณ์และระดับความรุนแรงของผลกระทบความเสี่ยง รวมถึงการทำแผนภูมิความเสี่ยง (Risk Map)

กำหนดตัวชี้วัดระดับความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk Indicator) รวมถึงจัดฝ่ายเทคโนโลยีให้มีการติดตามและรายงานผลตัวชี้วัดต่อผู้บริหาร เพื่อให้สามารถบริหารและจัดการความเสี่ยงได้อย่างเหมาะสมและทันต่อเหตุการณ์

หมวดที่ 2 การรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (IT Security)

แนวทางปฏิบัติเพิ่มเติมเกี่ยวกับนโยบายและมาตรการรักษาความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ (Information Security Policy)

วัตถุประสงค์

เพื่อเป็นการป้องกันการกระทำผิดนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ และสามารถนำไปปฏิบัติให้เป็นไปตามกฎและระเบียบของบริษัทฯ

แนวทางปฏิบัติ

ห้าม ผู้ใช้งาน ผู้ใช้งานภายนอก ฝ่ายเทคโนโลยีสารสนเทศ ผู้ดูแลระบบ ใช้ทรัพย์สินและเครือข่ายที่เป็นของบริษัทฯ เพื่อกระทำการอันผิดกฎหมายและขัดต่อศีลธรรมอันดีของสังคม เช่น การจัดทำเว็บไซต์เพื่อดำเนินการค้าขาย หรือเผยแพร่สิ่งที่ผิดกฎหมาย หรือขัดต่อศีลธรรมอันดี เป็นต้น
ไม่เข้าใช้เครือข่ายคอมพิวเตอร์ หรือเครื่องคอมพิวเตอร์ ด้วยชื่อบัญชีผู้ใช้ของผู้อื่น ทั้งที่ได้รับอนุญาต และไม่ได้รับอนุญาตจากเจ้าของชื่อบัญชีผู้ใช้
ห้ามเข้าใช้ระบบสารสนเทศและข้อมูลที่มีการป้องกันการเข้าถึงของผู้อื่น เพื่อแก้ไข ลบ เพิ่มเติม หรือคัดลอก
ห้ามเผยแพร่ข้อมูลของผู้อื่น หรือของบริษัทฯ โดยไม่ได้รับอนุญาตจากผู้ดูแลข้อมูลนั้น ๆ (อ้างอิงจากเอกสาร IT101 แนวปฏิบัติการควบคุมการเข้าถึงระบบสารสนเทศ)
ห้ามก่อกวน ขัดขวาง หรือทำลายให้ทรัพยากรและเครือข่ายคอมพิวเตอร์ของบริษัทฯ เกิดความเสียหาย เช่น การส่งไวรัสคอมพิวเตอร์ การป้อนโปรแกรมที่ทำให้เครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่ายปฏิเสธการทำงาน (Denial of Service) เป็นต้น
ห้ามลักลอบดักรับข้อมูลในเครือข่ายคอมพิวเตอร์ของบริษัทฯ และของผู้อื่นที่อยู่ระหว่างการรับและส่งในเครือข่ายคอมพิวเตอร์
ผู้ดูแลระบบต้องมีการตั้งค่า ให้ก่อนการใช้งานหรือเปิดไฟล์ที่แนบมากับจดหมายอิเล็กทรอนิกส์ หรือไฟล์ที่ดาวน์โหลดมาจากอินเทอร์เน็ต ต้องมีการตรวจสอบเพื่อหาไวรัสโดยโปรแกรมป้องกันไวรัสก่อนทุกครั้ง
ผู้ใช้งานต้องไม่อนุญาตให้ผู้อื่นใช้บัญชีใช้งานและรหัสผ่านของตน ในการเข้าใช้เครื่องคอมพิวเตอร์ร่วมกัน

การจัดโครงสร้างความมั่นคงปลอดภัยของระบบสารสนเทศ (Organization of Information Security)

วัตถุประสงค์

เพื่อกำหนดกรอบการบริหารจัดการด้านความมั่นคงปลอดภัยของระบบสารสนเทศภายในบริษัทฯ

แนวทางปฏิบัติ

ผู้บริหาร ต้องรับผิดชอบกำกับดูแลความมั่นคงปลอดภัยให้เป็นไปตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของบริษัทฯ
ผู้จัดการฝ่ายเทคโนโลยีสารสนเทศ ต้องกำหนดมอบหมายหน้าที่ให้กับผู้ใช้งานในฝ่ายเทคโนโลยี รับผิดชอบการดูแลระบบสารสนเทศที่บริษัทฯ ใช้งานให้มีความมั่นคงปลอดภัยของระบบสารสนเทศ และควบคุมการปฏิบัติงาน เพื่อให้คงไว้ซึ่งนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศของบริษัทฯ
ผู้จัดการฝ่ายเทคโนโลยีสารสนเทศ เป็นผู้รับผิดชอบการบริหารจัดการ กำกับดูแล ติดตาม และทบทวนภาพรวมของนโยบายความมั่นคงปลอดภัยด้านสารสนเทศของบริษัทฯ
ผู้ใช้งานฝ่ายเทคโนโลยีสารสนเทศ ที่ได้รับมอบหมายเป็นผู้ดูแลระบบระดับ Administrator รับผิดชอบต่อระบบสารสนเทศที่ดูแลนั้น จะต้องทำหน้าที่ตรวจสอบดูแลระบบความปลอดภัยในการใช้งานของระบบด้วย และเมื่อมีสถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจคาดคิด จะต้องดำเนินการแก้ไขและรายงานต่อผู้บังคับบัญชา ทั้งนี้ การขอสร้าง เปลี่ยนแปลง แก้ไข หรือยกเลิกสิทธิที่เป็นผู้ดูแลระบบระดับ Administrator ต้องได้รับอนุมัติจากผู้จัดการฝ่ายเทคโนโลยี และประธานเจ้าหน้าที่สายงานเทคโนโลยีสารสนเทศ (Chief Technology Officer) เท่านั้น
ผู้ใช้งาน และหน่วยงานทั้งภายในและภายนอก ต้องรับผิดชอบในการปฏิบัติตามนโยบายและแนวปฏิบัติของบริษัทฯ ในการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของบริษัทฯ รวมทั้งจะต้องไม่กระทำการละเมิดต่อกฎหมายที่เกี่ยวข้องกับการกระทำความผิดเกี่ยวกับ พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์และกฎหมายที่เกี่ยวข้อง

การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร (Human Resource Security)

วัตถุประสงค์

เพื่อให้ผู้ใช้งานเข้าใจนโยบาย หน้าที่และความรับผิดชอบในการใช้งานระบบสารสนเทศของบริษัทฯ

แนวทางปฏิบัติ

ต้องกำหนดหน้าที่และความรับผิดชอบทางด้านความมั่นคงปลอดภัยระบบสารสนเทศอย่างเป็นลายลักษณ์อักษรสำหรับบุคคลหรือหน่วยงานภายนอกที่ว่าจ้างมาปฏิบัติงาน และจะต้องสอดคล้องกับนโยบายความมั่นคงปลอดภัยด้านระบบสารสนเทศของบริษัทฯ
บริษัทฯ กำหนดเกณฑ์ในการตรวจสอบและคัดเลือกพนักงานใหม่อย่างชัดเจน โดยพิจารณาถึงประวัติส่วนตัว ประวัติการศึกษา ประวัติการทำงาน เป็นต้น เพื่อให้มั่นใจว่าบริษัทฯ ได้รับพนักงานที่มีคุณภาพ และลดความเสี่ยงด้านการละเมิดความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ
เพื่อให้การบริหารจัดการบัญชีผู้ใช้งานเป็นไปอย่างถูกต้องและเป็นปัจจุบันที่สุด ฝ่ายทรัพยากรบุคคลหรือหน่วยงานที่เกี่ยวข้อง ต้องแจ้งให้ผู้จัดการฝ่ายเทคโนโลยีทราบทันที เมื่อมีเหตุดังนี้
- การว่าจ้างงาน
- การเปลี่ยนแปลงสภาพการว่าจ้างงาน
- การลาออกจากงาน หรือการสิ้นสุดการเป็นผู้บริหารและผู้ใช้งานของบริษัทฯ
- การโยกย้ายหน่วยงาน
ผู้ใช้งานใหม่ของบริษัทฯ ต้องได้รับการอบรมเกี่ยวกับนโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ โดยควรเป็นส่วนหนึ่งของการปฐมนิเทศ
หลังจากเปลี่ยนแปลงหรือยกเลิกการจ้างงาน หรือสิ้นสุดโครงการ ต้องยกเลิกการเข้าถึงข้อมูลในระบบสารสนเทศทันที โดยผู้ดูแลระบบเป็นผู้ดำเนินการ

การควบคุมการใช้งานเครื่องคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ (Computer and Peripheral Access Control)

วัตถุประสงค์

เพื่อให้ผู้ใช้งานได้รับทราบถึงหน้าที่และความรับผิดชอบในการใช้งานเครื่องคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ของบริษัทฯ รวมทั้งทำความเข้าใจตลอดจนปฏิบัติตามอย่างเคร่งครัด อันจะเป็นการป้องกันทรัพยากรและข้อมูลของบริษัทฯ ให้มีความปลอดภัย ถูกต้องและมีความพร้อมใช้งานอยู่เสมอ

แนวทางปฏิบัติ

ผู้ใช้งานที่ได้รับมอบทรัพย์สินจากทางบริษัทฯ เช่น เครื่องคอมพิวเตอร์และอุปกรณ์อื่นๆของบริษัทฯ ต้องเป็นผู้รับผิดชอบทรัพย์สิน
ห้ามใช้เครื่องคอมพิวเตอร์และระบบเครือข่ายคอมพิวเตอร์ของบริษัทฯ เพื่อประกอบธุรกิจการค้า หรือบริการใด ๆ ที่เป็นของส่วนตัวและไม่เหมาะสม เช่น การจัดทำเว็บไซต์เพื่อดำเนินการค้าขาย หรือเผยแพร่สิ่งที่ผิดกฎหมาย หรือขัดต่อศีลธรรมอันดี เป็นต้น
ไม่อนุญาตให้ผู้ใช้งาน ทำการติดตั้งและแก้ไขเปลี่ยนแปลงโปรแกรม ในเครื่องคอมพิวเตอร์ของบริษัทฯด้วยตนเอง เว้นแต่ได้รับคำปรึกษาหรือคำแนะนำจากผู้ดูแลระบบ หรือได้รับอนุญาตจากผู้มีอำนาจสูงสุดของหน่วยงาน
ห้ามดัดแปลงแก้ไขส่วนประกอบต่าง ๆ ของเครื่องคอมพิวเตอร์ และอุปกรณ์ต่อพ่วง เว้นแต่ได้รับความเห็นชอบจากผู้ดูแลระบบ และผู้ใช้งานต้องรักษาสภาพของเครื่องคอมพิวเตอร์ และอุปกรณ์ต่อพ่วงให้มีสภาพเดิม
ไม่ใช้หรือวางอุปกรณ์คอมพิวเตอร์ทุกชนิดใกล้สิ่งที่เป็นของเหลว ใกล้สนามแม่เหล็ก ไฟฟ้าแรงสูง ในที่มีการสั่นสะเทือน
ในการเคลื่อนย้ายอุปกรณ์คอมพิวเตอร์ ควรทำด้วยความระมัดระวัง ไม่วางของหนักทับ หรือโยน
หลีกเลี่ยงของแข็งกดสัมผัสหน้าจอคอมพิวเตอร์ซึ่งอาจทำให้เป็นรอยขีดข่วน หรือแตกเสียหายได้ และควรเช็ดทำความสะอาดหน้าจอคอมพิวเตอร์อย่างเบามือที่สุด และเช็ดไปในทางเดียวกัน ห้ามเช็ดแบบหมุนวนเพราะจะทำให้หน้าจอมีรอยขีดข่วนได้
ผู้ใช้งานที่พ้นสภาพหรือสิ้นสุดโครงการต้องคืนเครื่องคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ที่รับผิดชอบทั้งหมดต่อผู้ดูแลระบบในสภาพที่พร้อมใช้งาน

การควบคุมการใช้งานโปรแกรมคอมพิวเตอร์ (Software License)

วัตถุประสงค์

เพื่อให้ผู้ใช้งานตระหนักถึงหน้าที่และความรับผิดชอบในการใช้งานโปรแกรมคอมพิวเตอร์ ตลอดจนเข้าใจการใช้โปรแกรมที่มีลิขสิทธิ์ถูกต้องและปฏิบัติตามแนวทางปฏิบัติอย่างเคร่งครัด รวมถึงการใช้งานโปรแกรมคอมพิวเตอร์ให้มีความมั่นคงปลอดภัยและสอดคล้องกับพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์และกฎหมายที่เกี่ยวข้อง

แนวทางปฏิบัติ

5.1 ข้อกำหนดสำหรับผู้ดูแลระบบ

ผู้ดูแลระบบมีหน้าที่รับผิดชอบในการควบคุม ดูแลการใช้งานโปรแกรมคอมพิวเตอร์ ตลอดจนจัดสรรการใช้งานโปรแกรมคอมพิวเตอร์ภายในบริษัทฯ ตามสิทธิ์การใช้ตามหน้าที่การใช้งาน
มีหน้าที่รับผิดชอบในการติดตั้ง และอัพเกรดโปรแกรมคอมพิวเตอร์ให้แก่ผู้ใช้งาน ตามวันเวลาที่นัดหมาย
ผู้ดูแลระบบทำการถอดและยกเลิกสิทธิ์การใช้งานโปรแกรมคอมพิวเตอร์ทันที เมื่อบริษัทฯ และ/หรือหน่วยงาน แจ้งยกเลิกและ/หรือย้ายสิทธิ์การใช้งานโปรแกรมคอมพิวเตอร์

ข้อกำหนดสำหรับผู้ใช้งาน
- ต้องใช้โปรแกรมคอมพิวเตอร์อย่างเช่นวิญญูชนพึงจะใช้ทรัพย์สินของตนเอง โดยไม่นำไปใช้ในทางที่ผิดกฎหมายหรือละเมิดกฎหมายต่อบุคคลอื่นอันเป็นต้นเหตุให้เกิดความเสียหายขึ้นกับบริษัทฯ
- โปรแกรมที่ถูกติดตั้งบนเครื่องคอมพิวเตอร์ของบริษัทฯ เป็นโปรแกรมที่ได้ซื้อลิขสิทธิ์ถูกต้องตามกฎหมาย ดังนั้นห้ามผู้ใช้งานคัดลอกโปรแกรมต่าง ๆ และนำไปติดตั้งบนเครื่องคอมพิวเตอร์ที่ไม่ใช่ทรัพย์สินของบริษัทฯ หรือแก้ไขหรือนำไปให้ผู้อื่นใช้งาน
- ห้ามคัดลอก จำหน่าย เผยแพร่โปรแกรมที่ละเมิดลิขสิทธิ์ และชุดคำสั่งที่จัดทำขึ้นโดยไม่ได้รับอนุญาต โดยเฉพาะการนำไปใช้เพื่อเป็นเครื่องมือในการกระทำความผิดทางกฎหมาย
- ห้ามนำโปรแกรมคอมพิวเตอร์ที่ไม่ชอบด้วยกฎหมายมาติดตั้งใช้งานบนเครื่องคอมพิวเตอร์ของบริษัทฯ อย่างเด็ดขาด กรณีผู้ใช้งานนำโปรแกรมคอมพิวเตอร์อื่นใดนอกเหนือไปจากโปรแกรมที่บริษัทฯ มีอยู่ มาใช้งานบนระบบคอมพิวเตอร์ ไม่ว่าจะมี Licensed Software หรือ Freeware ก็ตาม หากมีความเสียหายหรือละเมิดเกิดขึ้นผู้ใช้งานจะต้องเป็นผู้รับผิดชอบแต่เพียงผู้เดียว
- การติดตั้งใช้งาน การยกเลิกการใช้งาน การโอนย้าย และการคืนเครื่องคอมพิวเตอร์ และโปรแกรมคอมพิวเตอร์ ให้ผู้ใช้งานขอแจ้งความประสงค์ในแต่ละกรณีให้ผู้มีอำนาจพิจารณาอนุมัติ และผู้ดูแลระบบเทคโนโลยีสารสนเทศเป็นผู้รับผิดชอบในการดำเนินการให้เป็นไปตามที่ได้รับอนุมัติในแต่ละกรณี

การควบคุมทรัพย์สินด้านสารสนเทศและการเข้าใช้งานระบบคอมพิวเตอร์

วัตถุประสงค์

เพื่อควบคุมไม่ให้ทรัพย์สินอยู่ในสภาวะเสี่ยงต่อการเข้าถึงได้โดยผู้ซึ่งไม่มีสิทธิ์ และที่ไม่มีผู้ใช้งานอุปกรณ์

แนวทางปฏิบัติ

ต้องควบคุมไม่ให้ทรัพย์สินด้านสารสนเทศ ได้แก่ เอกสาร สื่อบันทึกข้อมูล คอมพิวเตอร์ และข้อมูลสารสนเทศ อยู่ในสภาวะเสี่ยงต่อการเข้าถึงได้โดยผู้ซึ่งไม่มีสิทธิ์ ขณะที่ไม่มีผู้ใช้งานอุปกรณ์ และต้องกำหนดให้ผู้ใช้งานออกจากระบบสารสนเทศเมื่อว่างเว้นจากการใช้งาน ดังต่อไปนี้
- ออกจากระบบสารสนเทศ (Log out) โดยทันทีเมื่อเสร็จสิ้นงาน
- มีการป้องกันเครื่องคอมพิวเตอร์ โดยใช้การพิสูจน์ตัวตนที่เหมาะสมก่อนเข้าใช้งาน
- ฝ่ายเทคโนโลยีต้องจัดเก็บและสำรองข้อมูลสารสนเทศที่มีความสำคัญของบริษัทฯ ไว้ในที่ที่ปลอดภัย
- ปิดเครื่องคอมพิวเตอร์ที่ตนเองใช้งานอยู่เมื่อใช้งานประจำวันเสร็จสิ้นงาน เว้นแต่เครื่องคอมพิวเตอร์นั้นเป็นเครื่องคอมพิวเตอร์แม่ข่ายให้บริการที่ต้องใช้งานตลอด 24 ชั่วโมง
- การตั้งค่า Screen Saver ของเครื่องคอมพิวเตอร์ที่ตนเองใช้งาน ให้มีการล็อค (Lock) หน้าจอโดยอัตโนมัติหลังจากไม่ใช้งานเครื่องคอมพิวเตอร์เกินกว่า 10 นาที
- ในกรณีที่ต้องการนำทรัพย์สินด้านสารสนเทศต่าง ๆ เช่น เอกสาร สื่อบันทึกข้อมูล ออกนอกบริษัทฯ ต้องมีการแจ้งให้ผู้ดูแลระบบทราบทุกครั้ง
- ระมัดระวังและดูแลทรัพย์สินของบริษัทฯ ที่ตนเองใช้งานเสมือนเป็นทรัพย์สินของตนเอง หากเกิดความสูญหายโดยประมาทเลินเล่อ ต้องรับผิดชอบหรือชดใช้ต่อความเสียหายนั้น

การใช้งานจดหมายอิเล็กทรอนิกส์

วัตถุประสงค์

เพื่อให้การรับส่งข้อมูลข่าวสารด้วยจดหมายอิเล็กทรอนิกส์ สามารถสนับสนุนการปฏิบัติงานและเป็นไปอย่างถูกต้อง สะดวก รวดเร็ว ทันสถานการณ์ มีประสิทธิภาพ ปลอดภัย ภายใต้ข้อกำหนดของกฎหมาย ระเบียบ ข้อบังคับ และมาตรการรักษาความปลอดภัยข้อมูลข่าวสารของบริษัทฯ ตลอดจนเพื่อให้ผู้ใช้งานเข้าใจถึงความสำคัญและตระหนักถึงปัญหาที่เกิดขึ้นจากการใช้บริการจดหมายอิเล็กทรอนิกส์บนเครือข่ายอินเทอร์เน็ต โดยผู้ใช้งานจะต้องเข้าใจกฎเกณฑ์ต่าง ๆ ที่ผู้ดูแลระบบวางไว้ ไม่ละเมิดสิทธิ์ หรือกระทำการใด ๆ ที่จะสร้างปัญหา หรือไม่เคารพกฎเกณฑ์ที่วางไว้ และจะต้องปฏิบัติตามคำแนะนำของผู้ดูแลระบบอย่างเคร่งครัด

แนวทางปฏิบัติ

ผู้ใช้งานจะได้รับสิทธิ์ในการใช้บริการจดหมายอิเล็กทรอนิกส์ โดยทางผู้ดูแลระบบจะเป็นผู้ทำการลงทะเบียน
หน่วยงานหรือผู้ใช้งานผู้ใช้บริการจดหมายอิเล็กทรอนิกส์ของบริษัทฯ จะต้องใช้จดหมายอิเล็กทรอนิกส์ เพื่อผลประโยชน์ของบริษัทฯ
ผู้ใช้บริการจดหมายอิเล็กทรอนิกส์ จะต้องไม่กระทำการละเมิดต่อพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ กฎหมายที่เกี่ยวข้อง และนโยบายและข้อกำหนดเกี่ยวกับเทคโนโลยีสารสนเทศที่บริษัทฯกำหนด
ผู้ใช้บริการจดหมายอิเล็กทรอนิกส์ ตามรายชื่อผู้ใช้งานที่ได้รับแจ้งมาจากฝ่ายเทคโนโลยี ต้องไม่ใช้จดหมายอิเล็กทรอนิกส์ (Email Address) ของผู้อื่นเพื่อเปิดอ่าน หรือรับส่งข้อความ
การใช้งานจดหมายอิเล็กทรอนิกส์ ผู้ใช้งานต้องไม่ปลอมแปลงชื่อบัญชีผู้ส่ง หรือบัญชีผู้ใช้งานอื่น
การส่งจดหมายอิเล็กทรอนิกส์ให้กับผู้รับบริการตามภารกิจของบริษัทฯ ผู้ใช้งานจะต้องใช้ระบบจดหมายอิเล็กทรอนิกส์ของบริษัทฯ เท่านั้น ห้ามไม่ให้ใช้ระบบจดหมายอิเล็กทรอนิกส์อื่น เว้นแต่ในกรณีที่ระบบจดหมายอิเล็กทรอนิกส์ของบริษัทฯ ขัดข้อง และต้องได้รับอนุญาตจากหัวหน้าแผนกแล้วเท่านั้น
การใช้งานจดหมายอิเล็กทรอนิกส์ ต้องใช้ภาษาสุภาพ ไม่ขัดต่อศีลธรรมอันดีงาม ไม่ทำการปลุกปั่น ยั่วยุ เสียดสี ส่อไปในทางผิดกฎหมาย และผู้ใช้งานต้องไม่ส่งข้อความที่เป็นความคิดเห็นส่วนบุคคล โดยอ้างเป็นความเห็นของบริษัทฯ หรือก่อให้เกิดความเสียหายต่อบริษัทฯ
ห้ามใช้ระบบจดหมายอิเล็กทรอนิกส์ที่บริษัทฯ มอบหมายให้แก่ผู้ใช้งาน เพื่อเผยแพร่ ข้อมูล ข้อความ รูปภาพ หรือสิ่งอื่นใด ซึ่งมีลักษณะขัดต่อศีลธรรมอันดีงาม ความมั่นคงของประเทศ กฎหมาย หมิ่นต่อสถาบันพระมหากษัตริย์ หรือกระทบต่อการดำเนินงานของบริษัทฯ ตลอดจนเป็นการรบกวนผู้ใช้งานอื่นรวมทั้งผู้รับบริการของบริษัทฯ
ห้ามผู้ใช้บริการนำที่อยู่จดหมายอิเล็กทรอนิกส์ ไปใช้ในกิจการงานส่วนบุคคล เช่น ธุรกิจส่วนตัว ใช้สมัครเครือข่ายสังคมออนไลน์ เป็นต้น หากตรวจพบว่ามีการกระทำดังกล่าว ให้ถือว่าเจ้าของจดหมายอิเล็กทรอนิกส์ หรือเจ้าของผู้ใช้บริการ เป็นผู้รับผิดชอบการกระทำดังกล่าว
ห้ามกระทำการอันที่จะสร้างปัญหาในการใช้ทรัพยากรของระบบ เช่น การสร้างจดหมายลูกโซ่ (Chain mail) การส่งจดหมายจำนวนมาก (Spam mail) การส่งจดหมายต่อเนื่อง (Letter bomb) การส่งจดหมายเพื่อการแพร่กระจายไวรัสคอมพิวเตอร์ เป็นต้น
ห้ามส่งข้อมูลข่าวสารอันเป็นความลับของบริษัทฯ ให้กับบุคคลอื่นหรือหน่วยงานที่ไม่เกี่ยวข้องกับภารกิจของบริษัทฯ
หลังจากการใช้งานระบบจดหมายอิเล็กทรอนิกส์เสร็จสิ้น ควรออกจากระบบ (Log out) ทุกครั้ง
กรณีได้รับการร้องเรียน ร้องขอ หรือพบเหตุอันไม่ชอบด้วยกฎหมาย ขอสงวนสิทธิ์ที่จะทำการยกเลิก หรือระงับการบริการชั่วคราวแก่ผู้ใช้งานนั้น ๆ เพื่อทำการสอบสวน และตรวจสอบสาเหตุ
หากผู้ใช้งานพบการกระทำที่ไม่เหมาะสม หรือเข้าข่ายการกระทำความผิด เกิดขึ้นในบริษัทฯ ให้แจ้งไปที่ผู้บริหาร หรือหัวหน้าหน่วยงานเทคโนโลยีสารสนเทศ

การควบคุมการเข้าถึงข้อมูลและระบบสารสนเทศ (Access Control)

การใช้งานระบบเครือข่ายของบริษัทฯ

วัตถุประสงค์

เพื่อกำหนดมาตรการในการใช้งานระบบอินเทอร์เน็ตผ่านระบบเครือข่ายของบริษัทฯ เพื่อให้เกิดประสิทธิภาพและมีความมั่นคงปลอดภัย และเพื่อให้ผู้ใช้งานมีความตระหนักในการใช้งานเว็บไซต์ต่าง ๆ ผ่านระบบเครือข่ายของบริษัทฯ

แนวทางปฏิบัติ

ฝ่ายเทคโนโลยีสารสนเทศ ต้องกำหนดเส้นทางการเชื่อมต่อระบบเครือข่ายเพื่อการเข้าใช้งานระบบอินเทอร์เน็ต โดยต้องผ่านระบบรักษาความปลอดภัย ได้แก่ Firewall หรือ Proxy เป็นต้น
ฝ่ายเทคโนโลยีสารสนเทศ ต้องกำหนดตารางควบคุมสิทธิ (Access Authorization Matrix) เพื่อจำกัดให้ผู้ใช้งานได้เข้าถึงระบบเทคโนโลยีสารสนเทศอย่างเหมาะสม โดยผู้จัดการฝ่ายเทคโนโลยีสารสนเทศสอบทานและทบทวนตารางควบคุมสิทธิ (Access Authorization Matrix) เป็นประจำอย่างน้อยปีละ 1 ครั้ง
เครื่องคอมพิวเตอร์ของบริษัทฯ ก่อนทำการเชื่อมต่อระบบเครือข่าย ฝ่ายเทคโนโลยีต้องมีการติดตั้งและตรวจสอบโปรแกรมป้องกันไวรัส
หลังจากใช้งานระบบอินเทอร์เน็ตเสร็จแล้ว ให้ผู้ใช้งานทำการปิดเว็บบราวเซอร์เพื่อป้องกันการเข้าใช้งานโดยบุคคลอื่น
ผู้ใช้งานต้องเข้าถึงแหล่งข้อมูลตามสิทธิ์ของผู้ใช้งานที่ได้รับ ตามหน้าที่ความรับผิดชอบเพื่อประสิทธิภาพของระบบเครือข่ายและความปลอดภัยของบริษัทฯ
ห้ามผู้ใช้งานเปิดเผยข้อมูลสำคัญที่เป็นความลับของบริษัทฯ ยกเว้นเป็นไปตามหลักเกณฑ์การเปิดเผยอย่างเป็นทางการของบริษัทฯ
ผู้ใช้งานต้องระมัดระวังการดาวน์โหลดโปรแกรมใช้งานระบบอินเทอร์เน็ต ซึ่งรวมถึงการดาวน์โหลดเพื่อปรับปรุงโปรแกรมต่าง ๆ ต้องเป็นไปโดยไม่ละเมิดลิขสิทธิ์หรือทรัพย์สินทางปัญญา
ผู้ใช้งานต้องไม่ใช้เครือข่ายอินเทอร์เน็ตของบริษัทฯ เพื่อประโยชน์ในเชิงธุรกิจส่วนตัว และเข้าสู่เว็บไซต์ที่ไม่เหมาะสม เช่น เว็บไซต์ที่ขัดต่อศีลธรรมอันดี เว็บไซต์ที่มีเนื้อหาเป็นภัยต่อความมั่นคงของชาติ ศาสนา พระมหากษัตริย์ เว็บไซต์ที่เป็นภัยต่อสังคม เว็บไซต์ลามกอนาจาร เป็นต้น
ผู้ใช้งานจะต้องใช้ระบบอินเทอร์เน็ต ในลักษณะที่ไม่เป็นการละเมิดของบุคคลอื่น ๆ และจะต้องไม่ก่อให้เกิดความเสียหายขึ้นต่อบริษัทฯ รวมทั้งจะต้องไม่กระทำการใดอันเข้าข่ายความผิดตามพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ หรือกฎหมายที่เกี่ยวข้องโดยเด็ดขาด ทั้งนี้ การใช้ระบบอินเทอร์เน็ตเพื่อการปฏิบัติงานของบริษัทฯ ในทุกกรณี ผู้ใช้งานจะต้องปฏิบัติตามขั้นตอนการปฏิบัติที่บริษัทฯ กำหนดไว้อย่างเคร่งครัด
ผู้ดูแลระบบต้องจัดเก็บข้อมูลและบันทึกหลักฐานการใช้งานอินเตอร์เน็ตโดยผ่านระบบเครือข่ายคอมพิวเตอร์ของบริษัทฯ โดยย้อนหลังได้ไม่น้อยกว่า 90 วัน และจัดเก็บข้อมูลให้ครบถ้วนเพียงพอ รวมถึงสามารถนำมายืนยันและระบุตัวตนของ ผู้ใช้งาน และผู้ใช้งานภายนอก ได้ อย่างครบถ้วนชัดเจน

การควบคุมการเข้ารหัสข้อมูล (Cryptographic Control)

วัตถุประสงค์

เพื่อควบคุมและป้องกันบุคคลที่ไม่เกี่ยวข้องมิให้เข้าถึง ล่วงรู้ หรือแก้ไขเปลี่ยนแปลง ข้อมูลหรือการทำงานของระบบสารสนเทศในส่วนที่มิได้มีอำนาจหน้าที่เกี่ยวข้อง

แนวทางปฏิบัติ

การบริหารจัดการข้อมูล
- ต้องมีการจัดลำดับชั้นความลับ ต้องมีการแบ่งประเภทของข้อมูลตามภารกิจและการจัดลำดับความสำคัญของข้อมูล กำหนดวิธีบริหารจัดการกับข้อมูลแต่ละประเภท รวมถึงกำหนดวิธีปฏิบัติกับข้อมูลลับหรือข้อมูลสำคัญก่อนการยกเลิกหรือการนำกลับมาใช้ใหม่
- การรับส่งข้อมูลสำคัญผ่านระบบเครือข่ายสาธารณะ ต้องได้รับการเข้ารหัส (Encryption) ที่เป็นมาตรฐานสากล เช่น การใช้ SSL (Secure Socket Layer) การใช้ VPN (Virtual Private Network) เป็นต้น
- ต้องมีมาตรการรักษาความปลอดภัยข้อมูลในกรณีที่นำเครื่องคอมพิวเตอร์ออกนอกพื้นที่ของบริษัทฯ เช่น ส่งซ่อม เป็นต้น หรือทำลายข้อมูลที่เก็บอยู่ในสื่อบันทึกก่อน
การควบคุมการกำหนดสิทธิ์ให้ผู้ใช้งาน (User Privilege)
- ต้องควบคุมการเข้าถึงข้อมูลและอุปกรณ์ในการประมวลผลข้อมูล โดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัยในการใช้งานระบบสารสนเทศ กำหนดกฎเกณฑ์ที่เกี่ยวกับการอนุญาตให้เข้าถึง กำหนดสิทธิ์เพื่อให้ผู้ใช้งานในทุกระดับได้รับรู้ เข้าใจ และสามารถปฏิบัติตามแนวทางที่กำหนดโดยเคร่งครัด และตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ
- ต้องกำหนดสิทธิ์การใช้ข้อมูลและระบบสารสนเทศ เช่น สิทธิ์การใช้โปรแกรมระบบสารสนเทศ (Application System) สิทธิ์การใช้งานอินเทอร์เน็ต เป็นต้น ให้แก่ผู้ใช้งานให้เหมาะสมกับหน้าที่และความรับผิดชอบ โดยต้องให้สิทธิ์เฉพาะเท่าที่จำเป็นแก่การปฏิบัติหน้าที่ และได้รับความเห็นชอบจากผู้มีอำนาจหน้าที่เป็นลายลักษณ์อักษร รวมทั้งทบทวนสิทธิ์ดังกล่าวอย่างสม่ำเสมอ
- ในกรณีที่ไม่มีการปฏิบัติงานอยู่ที่หน้าเครื่องคอมพิวเตอร์ ต้องมีมาตรการป้องกันการใช้งานโดยบุคคลอื่นที่มิได้มีสิทธิ์และหน้าที่เกี่ยวข้อง เช่น กำหนดให้ผู้ใช้งานออกจากระบบงาน (Log Out) ในช่วงเวลาที่มิได้อยู่ปฏิบัติงานที่หน้าเครื่องคอมพิวเตอร์ เป็นต้น
- ในกรณีที่มีความจำเป็นต้องให้สิทธิ์บุคคลอื่น ให้มีสิทธิ์ใช้งานระบบสารสนเทศและระบบเครือข่ายในลักษณะฉุกเฉินหรือชั่วคราว ต้องได้รับการอนุมัติจากผู้บริหารหรือผู้ดูแลระบบทุกครั้งโดยบันทึกเหตุผลและความจำเป็น รวมถึงต้องกำหนดระยะเวลาการใช้งาน และผู้ดูแลระบบต้องระงับการใช้งานทันทีเมื่อพ้นระยะเวลาดังกล่าว
- บริษัทฯ ต้องจัดให้ผู้ดูแลระบบทำการตรวจสอบสิทธิ์การเข้าถึงและตรวจสอบบันทึกเหตุการณ์ที่เกี่ยวกับการเข้าใช้งานของผู้ใช้งานบนระบบข้อมูลและระบบงานสารสนเทศอย่างสม่ำเสมอ อย่างน้อยไตรมาสละ 1 ครั้ง
การควบคุมการใช้งานบัญชีรายชื่อผู้ใช้งาน (User Account) และรหัสผ่าน (Password)
- ต้องมีระบบตรวจสอบตัวตนจริงและสิทธิ์การเข้าใช้งานของผู้ใช้งาน (Identification and Authentication) ก่อนเข้าสู่ระบบสารสนเทศที่รัดกุมเพียงพอ เช่น กำหนดรหัสผ่านให้ยากแก่การคาดเดา เป็นต้น และต้องกำหนดให้ผู้ใช้งานแต่ละรายมี User Account เป็นของตนเอง ทั้งนี้ การพิจารณาว่าการกำหนดรหัสผ่านมีความยากแก่การคาดเดาและการควบคุมการใช้รหัสผ่านมีความรัดกุมหรือไม่นั้น บริษัทฯ จะใช้ปัจจัยดังต่อไปนี้ประกอบการพิจารณาในภาพรวม
ควรกำหนดให้รหัสผ่านมีความยาวพอสมควร ซึ่งมาตรฐานสากลโดยส่วนใหญ่แนะนำให้มีความยาวขั้นต่ำ 8 ตัวอักษร (Alphabet + Numeric) และต้องใช้อักขระพิเศษประกอบ เช่น : ; < > $ @ # เป็นต้น
ฝ่ายเทคโนโลยีสารสนเทศกำหนดให้ผู้ใช้งาน ต้องทำการยืนยันตัวต้นเพิ่มเติมหลังจากทำการยืนยันตัวตนโดยการใช้รหัสผ่าน Multi-factor authentication (MFA) เช่น ยืนยันตัวต้นผ่าน SMS บนมือถือ หรือ ผ่าน App Authenticator
ไม่ควรกำหนดรหัสผ่านอย่างเป็นแบบแผน หรือคาดเดาได้ง่าย เช่น “abcdef” “aaaaaa” “123456” “password” “P@ssw0rd” เป็นต้น
ไม่ควรกำหนดรหัสผ่านที่เกี่ยวข้องกับผู้ใช้งาน เช่น ชื่อ นามสกุล วัน เดือน ปีเกิด ที่อยู่ เป็นต้น
ไม่ควรกำหนดรหัสผ่านเป็นคำศัพท์ที่อยู่ในพจนานุกรม
ควรกำหนดจำนวนครั้งที่ยอมให้ผู้ใช้งานใส่รหัสผ่านผิด (Logon Attempt -Retires) ซึ่งในทางปฏิบัติโดยทั่วไปให้อยู่ที่ 5 ครั้ง หากการใส่รหัสผ่านผิดเกินจำนวนครั้งที่กำหนดไว้ระบบงานหรือโปรแกรมจะไม่อนุญาตหรือระงับการใช้งาน
ควรมีวิธีการจัดส่งรหัสผ่านให้แก่ผู้ใช้งานอย่างรัดกุมและปลอดภัย
ผู้ใช้งานที่ได้รับรหัสผ่านในครั้งแรก (Default Password) หรือได้รับรหัสผ่านใหม่ ควรเปลี่ยนรหัสผ่านนั้นโดยทันที
ผู้ใช้งานควรเก็บรหัสผ่านไว้เป็นความลับ ไม่ควรจดใส่กระดาษแล้วติดไว้หน้าเครื่อง ทั้งนี้ ในกรณีที่มีการล่วงรู้รหัสผ่านโดยบุคคลอื่น ผู้ใช้งานควรเปลี่ยนรหัสผ่านโดยทันที
ผู้ใช้งานไม่สามารถกำหนดรหัสผ่านซ้ำเดิมที่เคยใช้ในระยะเวลา 1 ปีได้
บริษัทฯ กำหนดให้รหัสผ่านมีอายุการใช้งาน 6 เดือน โดยผู้ใช้งานจะได้รับอีเมล์แจ้งเตือนหรัสผ่านหมดอายุ และการเปลี่ยนรหัสผ่านล่วงหน้า 7 วัน
สำหรับกรณีผู้ใช้งานมีการใช้งานร่วมกันลักษณะ Shared Users Licenses เช่นระบบ BC เป็นต้น ทางผู้ดูแลจะมีการส่งอีเมลแจ้งเตือนผู้รับผิดชอบการใช้งานให้ทำการเปลี่ยนรหัสผ่านในการเข้าระบบงานนั้น เมื่อมีการเปลี่ยนแปลงของผู้ใช้งานในสังกัด
- ต้องตรวจสอบรายชื่อผู้ใช้งานของระบบงานสำคัญอย่างสม่ำเสมอ และดำเนินการตรวจสอบบัญชีรายชื่อผู้ใช้งานที่มิได้มีสิทธิ์ใช้งานระบบแล้ว เช่น บัญชีรายชื่อของผู้ใช้งานที่ลาออกแล้ว บัญชีรายชื่อที่ติดมากับระบบ (Default User) เป็นต้น พร้อมทั้งระงับการใช้งานโดยทันทีเมื่อตรวจพบ เช่น Disable ลบออกจากระบบ หรือเปลี่ยน รหัสผ่าน เป็นต้น

การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม (Physical and Environmental Security)

วัตถุประสงค์

การควบคุมการเข้าออกห้องศูนย์กลางข้อมูล (Data Center Room) มีวัตถุประสงค์เพื่อป้องกันมิให้บุคคลที่ไม่มีอำนาจหน้าที่เกี่ยวข้องเข้าถึง ล่วงรู้ แก้ไขเปลี่ยนแปลง หรือก่อให้เกิดความเสียหายต่อข้อมูลและระบบคอมพิวเตอร์ ส่วนการป้องกันความเสียหายมีวัตถุประสงค์เพื่อป้องกันมิให้ข้อมูลและระบบคอมพิวเตอร์ได้รับความเสียหายจากปัจจัยสภาวะแวดล้อมหรือภัยพิบัติต่าง ๆ โดยมีเนื้อหาครอบคลุมเกี่ยวกับแนวทางการควบคุมการเข้าออก Data Center Room และระบบป้องกันความเสียหายต่าง ๆ ที่บริษัทฯ ควรจัดให้มีภายใน Data Center Room

แนวทางปฏิบัติ

การควบคุมห้องศูนย์กลางข้อมูล (Data Center Room)

ผู้ดูแลระบบต้องกำหนดให้พื้นที่สำหรับ จัดเก็บอุปกรณ์คอมพิวเตอร์ที่สำคัญ เช่น เครื่องแม่ข่าย อุปกรณ์เครือข่าย เป็นต้น หรือ Data center room เป็นพื้นที่หวงห้าม และต้องกำหนดสิทธิ์การเข้าออก Data Center Room ให้เฉพาะบุคคลที่มีหน้าที่เกี่ยวข้อง เช่น ผู้ดูแลระบบ ฝ่ายเทคโนโลยีสารสนเทศ เป็นต้น
ในกรณีบุคคลที่ไม่มีหน้าที่เกี่ยวข้องประจำ อาจมีความจำเป็นต้องเข้าออก Data Center Room ในบางครั้ง ก็ต้องมีการควบคุมอย่างรัดกุม เช่น กำหนดให้มีผู้ดูแลระบบ และ/หรือ ผู้ใช้งานที่เกี่ยวข้อง ควบคุมดูแลการทำงานตลอดเวลา เป็นต้น
ต้องมีระบบเก็บบันทึกการเข้าออก Data Center Room โดยบันทึกดังกล่าวต้องมีรายละเอียดเกี่ยวกับตัวบุคคลและเวลาผ่านเข้าออก และควรมีการตรวจสอบบันทึกดังกล่าวอย่างสม่ำเสมอ
- การป้องกันความเสียหาย
  - ระบบป้องกันไฟไหม้
- ต้องมีอุปกรณ์เตือนไฟไหม้ เช่น เครื่องตรวจจับควัน เครื่องตรวจจับความร้อน เป็นต้น เพื่อป้องกันหรือระงับเหตุไฟไหม้ได้ทันเวลา
- Data Center Room หลัก ต้องมีถังดับเพลิงเพื่อใช้สำหรับการดับเพลิงในเบื้องต้น
  - ระบบป้องกันไฟฟ้าขัดข้อง
- ต้องมีระบบป้องกันมิให้คอมพิวเตอร์ได้รับความเสียหายจากความไม่คงที่ของกระแสไฟฟ้า
- ต้องมีระบบสำรองไฟฟ้าสำหรับระบบงานคอมพิวเตอร์ที่สำคัญ และระบบเครือข่ายคอมพิวเตอร์ เพื่อให้การดำเนินงานมีความต่อเนื่อง
  - ระบบควบคุมอุณหภูมิและความชื้น
- ต้องควบคุมสภาพแวดล้อมให้มีอุณหภูมิและความชื้นที่เหมาะสม โดยควรตั้งอุณหภูมิเครื่องปรับอากาศและตั้งค่าความชื้นให้เหมาะสมกับคุณลักษณะ (Specification) ของระบบคอมพิวเตอร์ เนื่องจากระบบคอมพิวเตอร์อาจทำงานผิดปกติภายใต้สภาวะอุณหภูมิหรือความชื้นที่ไม่เหมาะสม

การรักษาความมั่นคงปลอดภัยในการปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศ (Operations Security)

วัตถุประสงค์

เพื่อให้การปฏิบัติงานกับระบบสารสนเทศของบริษัทฯ เป็นไปอย่างถูกต้องและมั่นคงปลอดภัย ป้องกันการสูญหายของข้อมูล และได้รับการปกป้องจากโปรแกรมไม่ประสงค์ดี

แนวทางปฏิบัติ

ฝ่ายเทคโนโลยีสารสนเทศต้องจัดทำคู่มือหรือขั้นตอนปฏิบัติงานเกี่ยวกับระบบสารสนเทศที่สำคัญของบริษัทฯ เพื่อป้องกันความผิดพลาดในการปฏิบัติงานด้านสารสนเทศ และต้องทบทวนคู่มือหรือขั้นตอนปฏิบัติงานดังกล่าวเป็นประจำอย่างน้อยปีละ 1 ครั้ง
ควรติดตั้งระบบเพื่อตรวจสอบติดตามทรัพยากรของระบบสารสนเทศ เช่น CPU, Memory, Hard Disk ว่าเพียงพอหรือไม่ในส่วนของเซิฟเวอร์ และนำข้อมูลการตรวจสอบติดตามมาวางแผนการเพิ่มหรือลดทรัพยากรในอนาคต
ระบบเทคโนโลยีสารสนเทศที่อยู่ในการพัฒนา ต้องแยกออกจากระบบการให้บริการจริง เพื่อป้องกันการเปลี่ยนแปลงข้อมูลโดยไม่ได้รับอนุญาต
ฝ่ายเทคโนโลยีสารสนเทศต้องสำรวจข้อมูล จัดระดับความสำคัญ กำหนดข้อมูลที่ต้องการสำรองและความถี่ในการสำรองข้อมูล ทั้งนี้ข้อมูลที่มีความสำคัญสูง ต้องจัดให้มีความถี่การสำรองมาก
ต้องทดสอบและประเมินสภาพพร้อมใช้งานระบบสำรองของระบบสารสนเทศ อย่างน้อยปีละ 1 ครั้ง
ต้องมีมาตรการป้องกันโปรแกรมไม่ประสงค์ดี เช่น

เครื่องคอมพิวเตอร์แบบพกพาส่วนบุคคลของบริษัทฯ ก่อนเชื่อมต่อระบบเครือข่ายของบริษัทฯ ต้องติดตั้งโปรแกรมป้องกันไวรัสและอุดช่องโหว่ของระบบปฏิบัติการและเว็บเบราว์เซอร์

ผู้ใช้งานต้องทำการ Update ระบบปฏิบัติการและโปรแกรมที่ใช้งาน ที่ได้มีการออก Patch และ/หรือ HotFix อย่างสม่ำเสมอ โดยสามารถดาวน์โหลดจากเว็บไซต์ของเจ้าของผลิตภัณฑ์เพื่อแก้ปัญหาช่องโหว่
ในการรับส่งข้อมูลคอมพิวเตอร์ผ่านทางอีเมล จะต้องตรวจสอบไวรัส โดยโปรแกรมป้องกันไวรัสก่อนการรับส่งข้อมูลทุกครั้ง
ผู้ใช้งานต้องติดตั้งซอฟต์แวร์ที่ทางบริษัทฯ ได้จัดเตรียมไว้ให้ หากต้องการติดตั้งซอฟต์แวร์อื่นนอกเหนือจากที่บริษัทฯ เตรียมไว้ให้ ต้องแจ้งฝ่ายเทคโนโลยีเพื่อตรวจสอบความปลอดภัยก่อนการติดตั้ง

การรักษาความมั่นคงปลอดภัยด้านการสื่อสารข้อมูลสารสนเทศผ่านระบบเครือข่าย (Communications Security)

วัตถุประสงค์

เพื่อป้องกันข้อมูล สารสนเทศ ระบบสารสนเทศ ในเครือข่ายจากบุคคล ไวรัส รวมทั้ง Malicious Code ต่าง ๆ มิให้เข้าถึงหรือสร้างความเสียหายแก่ข้อมูลหรือการทำงานของระบบสารสนเทศ

แนวทางปฏิบัติ

การบริหารจัดการความมั่นคงปลอดภัยของระบบเครือข่าย (Network Security Management)

กำหนดการควบคุมการเข้าถึงระบบเครือข่ายให้มีความมั่นคงปลอดภัย

(ข) ต้องจัดแบ่งเครือข่ายระหว่างผู้ใช้งานภายในและผู้ใช้ภายนอกที่ติดต่อกับบริษัทฯ

การถ่ายโอนข้อมูล (Information Transfer)

ต้องมีมาตรการในการติดตามและตรวจสอบการปฏิบัติงานและคุณภาพการให้บริการของผู้ให้บริการภายนอก ว่าเป็นไปตามสัญญาและข้อตกลง เช่น ผู้ให้บริการ Cloud บริษัทฯ ตรวจสอบใบรับรองมาตรฐานคุณภาพ ISO 27001 จากเว็บไซต์ผู้ให้บริการ อย่างน้อยปีละ 1 ครั้ง

(ข) ต้องมีการตรวจสอบสภาพความพร้อมใช้งานของระบบสารสนเทศสำรอง อย่างน้อยปีละ 1 ครั้ง

การจัดหา พัฒนา และดูแลรักษาระบบสารสนเทศ (System Acquisition, Development and Maintenance)

วัตถุประสงค์

การควบคุมการพัฒนาหรือแก้ไขเปลี่ยนแปลงระบบสารสนเทศมีวัตถุประสงค์เพื่อให้ระบบสารสนเทศที่ได้รับการพัฒนา หรือแก้ไขเปลี่ยนแปลงมีการประมวลผลที่ถูกต้องครบถ้วน และเป็นไปตามความต้องของผู้ใช้งาน ซึ่งเป็นการลดความเสี่ยงด้าน Integrity Risk โดยมีเนื้อหาครอบคลุมกระบวนการพัฒนา หรือแก้ไขเปลี่ยนแปลงตั้งแต่เริ่มต้นซึ่งได้แก่การร้องขอจนถึงการนำระบบงานที่ได้รับการพัฒนาหรือแก้ไขเปลี่ยนแปลงไปใช้งานจริง

แนวทางปฏิบัติ

ควรมีขั้นตอนหรือวิธีปฏิบัติในการพัฒนาหรือแก้ไขเปลี่ยนแปลงระบบงานเป็นลายลักษณ์อักษร โดยอย่างน้อยควรมีข้อกำหนดเกี่ยวกับขั้นตอนในการร้องขอ ขั้นตอนในการพัฒนาหรือแก้ไขเปลี่ยนแปลง ขั้นตอนในการทดสอบ และขั้นตอนในการโอนย้ายระบบงาน
ควรมีขั้นตอนหรือวิธีปฏิบัติในกรณีที่มีการแก้ไขเปลี่ยนแปลงระบบงานคอมพิวเตอร์ในกรณีฉุกเฉิน (Emergency Change) และควรมีการบันทึกเหตุผลความจำเป็นและขออนุมัติจากผู้มีอำนาจอนุมัติทุกครั้ง

การใช้บริการระบบสารสนเทศจากผู้รับดำเนินการด้านสารสนเทศ (IT Outsourcing)

วัตถุประสงค์

เพื่อเป็นการป้องกันทรัพย์สินของบริษัทฯ ที่มีการเข้าถึงโดยผู้รับดำเนินการด้านสารสนเทศ (IT Outsourcing) และมีการรักษาไว้ซึ่งระดับความมั่นคงปลอดภัย และระดับการให้บริการตามที่ตกลงกันไว้ในข้อตกลงการให้บริการ

แนวทางปฏิบัติ

ต้องจัดทำข้อกำหนดทางด้านความมั่นคงปลอดภัยสำหรับข้อมูลของบริษัทฯ เมื่อมีความจำเป็นต้องให้ IT Outsourcing เข้าถึงข้อมูลหรือทรัพย์สินของบริษัทฯ โดยสอดคล้องกับข้อกำหนดเกี่ยวกับการรักษาความลับข้อมูลของบริษัทฯ
ฝ่ายเทคโนโลยีต้องสื่อสาร และบังคับใช้ข้อกำหนดทางด้านความมั่นคงปลอดภัยสำหรับข้อมูลของบริษัทฯ เมื่อมีความจำเป็นต้องให้ IT Outsourcing เข้าถึงข้อมูลหรือทรัพย์สินของบริษัทฯ ก่อนที่จะอนุญาตให้สามารถเข้าถึงได้
ในข้อตกลงการให้บริการ ต้องกำหนดให้มีการติดตาม ทบทวน และตรวจประเมินการให้บริการภายนอกอย่างสม่ำเสมอ
หากมีการเปลี่ยนแปลงข้อตกลงการให้บริการสำหรับระบบที่สำคัญ จะต้องทำการประเมินความเสี่ยงด้านความมั่นคงปลอดภัย

การบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security Incident Management)

วัตถุประสงค์

เพื่อให้มีวิธีการที่สอดคล้องกันและได้ผลสำหรับการบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยของระบบสารสนเทศ รวมถึงการแจ้งสถานการณ์ความมั่นคงปลอดภัยของระบบสารสนเทศ และจุดอ่อนของความมั่นคงปลอดภัยของระบบสารสนเทศให้ได้รับทราบ

แนวทางปฏิบัติ

ต้องกำหนดหน้าที่รับผิดชอบและขั้นตอนปฏิบัติเพื่อรับมือเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยของบริษัทฯ
ต้องกำหนดช่องทางการติดต่อสื่อสาร เพื่อรายงานสถานการณ์ความมั่นคงปลอดภัยของระบบสารสนเทศอย่างชัดเจน
หากผู้ใช้งานตรวจพบเหตุอันอาจส่งผลต่อความมั่นคงปลอดภัยของระบบสารสนเทศต้องแจ้งเหตุการณ์ดังกล่าวต่อฝ่ายเทคโนโลยี
กำหนดให้มีการรายงานสถานการณ์ความมั่นคงปลอดภัยของระบบสารสนเทศตามระดับความรุนแรงของเหตุการณ์ หากส่งผลกระทบรุนแรงต่อผู้ใชงานเป็นจำนวนมาก ต้องประกาศให้ทราบโดยรวดเร็ว
ต้องมีการบันทึกเหตุการณ์ละเมิดความมั่นคงปลอดภัย โดยอย่างน้อยต้องพิจารณาถึงประเภทของเหตุการณ์ ปริมาณที่เกิดขึ้น และค่าใช้จ่ายที่เกิดจากความเสียหาย เพื่อที่จะได้เรียนรู้และเตรียมการป้องกัน
ต้องรวบรวมและจัดเก็บหลักฐานตามกฎหรือหลักเกณฑ์สำหรับอ้างอิงในกระบวนการทางศาล
ต้องจัดเก็บบันทึกหลักฐาน(Log) ได้แก่ บันทึกการเข้าถึงระบบสารสนเทศและระบบงานสารสนเทศ(Access log) และบันทึกหลักฐานการดำเนินงานในระบบสารสนเทศและระบบสารสนเทศ(Activity Log) ของทุกระบบที่บริษัทฯใช้งาน ทั้งนี้รวมถึง บันทึกหลักฐานการเข้าถึงและใช้งานระบบอินเตอร์เน็ตผ่านเครือข่ายคอมพิวเตอร์ของบริษัทฯ โดยจัดเก็บบันทึกหลักฐาน ต้องสามารถตรวจสอบย้อนหลังได้ไม่ได้น้อยกว่า 90 วัน

การบริหารความต่อเนื่องทางธุรกิจในด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security Aspects of Business Continuity Management)

วัตถุประสงค์

เพื่อเป็นการป้องกันการหยุดชะงักในการดำเนินงานของบริษัทฯ อันเกิดมาจากวิกฤตหรือภัยพิบัติ และเป็นการจัดเตรียมสภาพความพร้อมใช้งานของอุปกรณ์ระบบสารสนเทศของบริษัทฯ

แนวทางปฏิบัติ

ฝ่ายเทคโนโลยีสารสนเทศ ต้องมีการจัดทำแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan – BCP) ที่อาจจะเกิดขึ้นกับระบบสารสนเทศของบริษัทฯ
ต้องดำเนินการตรวจสอบและประเมินความเสี่ยงด้านระบบสารสนเทศที่อาจเกิดขึ้น อย่างน้อย ปีละ 1 ครั้ง
ต้องทบทวนแผนเตรียมความพร้อมกรณีฉุกเฉิน อย่างน้อยปีละ 1 ครั้ง

การทบทวนนโยบาย

นโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ ตามที่ระบุในนโยบายฉบับนี้ควรได้รับการทบทวนและปรับปรุงให้สอดคล้องกับสภาพการดำเนินธุรกิจและความเสี่ยงขององค์กร โดยดำเนินการอย่างน้อยปีละ 1 ครั้ง หากมีการแก้ไขที่เป็นสาระสำคัญ

ทั้งนี้ ให้มีผลบังคับใช้ตั้งแต่วันที่ 12 พฤศจิกายน 2567 เป็นต้นไป