Privacy Policy
One2One Contacts Public Company Limited and its subsidiaries (hereinafter collectively referred to as ” the Company “) utilize advanced information technology and rapidly developing communication systems. Therefore, the Company places great importance on respecting your privacy and the security of your personal data. The Company has established various policies, regulations, and guidelines to safeguard your personal data, ensuring that your personal information will be used in accordance with your wishes and the law.
The company recognizes the importance of protecting personal data in accordance with the Personal Data Protection Act B.E. 2562 (2019) and other relevant laws, rules, regulations, and orders from government agencies (hereinafter collectively referred to as the ” Personal Data Protection Act “). Therefore, the company has established this Personal Data Protection Policy (hereinafter referred to as the ” Policy “). This policy describes how the company handles personal data, such as its collection, storage, use, disclosure, and the rights of data subjects. To ensure data subjects are aware of the company’s personal data protection policy, the company hereby announces the policy as follows:
The company, as a data controller and data processor, collects, stores, uses, and discloses personal data for the benefit of its operations, such as procurement, contracting, company activities, communication, or to improve work efficiency, such as creating databases, analyzing and developing company processes, and for any other purposes not prohibited by law and/or to comply with laws or regulations related to the company’s operations.
The company will collect, store, use, and disclose such personal information only as appropriate and necessary for the purposes communicated to the data subject or as required by law. This policy has been established to protect the personal information of data subjects, stakeholders, or those related to the company, with the following objectives:
1.1 To define the roles, responsibilities of the agency and personnel, including executives, employees, and individuals dealing with personal data.
1.2 To establish procedures or measures for maintaining security and protecting personal data.
1.3 To establish guidelines for the work practices of personnel involving personal data.
1.4 To build confidence in the security of personal data among employees, customers, business partners, service users, and other individuals who have a stake in or are involved with personal data.
2.1 ให้นโยบายฉบับนี้ มีผลใช้บังคับกับ กรรมการ ผู้บริหาร พนักงาน ลูกจ้าง และบุคคลที่มีส่วนเกี่ยวข้อง ตลอดจน คู่ค้า ผู้ให้บริการภายนอก และผู้มีส่วนได้ส่วนเสียกับบริษัท
2.2 This policy shall apply to all company activities related to personal data.
“company”
means that
One2One Contacts Public Company Limited, including One2One Contacts (Cambodia) Company Limited, One2One Professional Company Limited, and Inno Hub Company Limited, are companies within the One2One Contacts Public Company Limited group.
“Personal information”
(Personal Data)
means that
Information concerning an individual that makes it possible to identify that individual, directly or indirectly, but excluding information concerning deceased persons.
“Sensitive personal data”
(Sensitive Data)
means that
Personal data that is at risk of being used for unfair discrimination includes data on race, religion, sexual orientation, criminal history, health information, disability, genetic information, biometric data, or any other data that similarly affects the data subject as defined by the Personal Data Protection Committee.
“Personal Data Subject”
หมายความว่า
บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล ได้แก่ กรรมการบริษัท ลูกค้า คู่ค้า ผู้ใช้บริการ และพนักงานบริษัท
“ผู้ควบคุมข้อมูลส่วนบุคคล”
หมายความว่า
บุคคล หรือนิติบุคคลซึ่งมีอํานาจหน้าที่ตัดสินใจเกี่ยวกับ การเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล ในที่นี้หมายถึง บริษัท หน่วยงาน และพนักงานที่รับผิดชอบในข้อมูลส่วนบุคคลตามที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม
“ผู้ประมวลผลข้อมูลส่วนบุคคล”
หมายความว่า
บุคคลหรือนิติบุคคลซึ่งดําเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของผู้ควบคุมข้อมูล ส่วนบุคคล ในที่นี้หมายถึง คู่ค้า บุคคลหรือบริษัทภายนอกที่บริษัทได้ว่าจ้างให้ดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
“บุคคล”
หมายความว่า
บุคคลธรรมดา
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล”
(Data Protection Officer: DPO)
หมายความว่า
บุคคลซึ่งบริษัทแต่งตั้งให้ทําหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“การประมวลผลข้อมูล”
(Processing)
หมายความว่า
การปฏิบัติการ หรือส่วนหนึ่งของการปฎิบัติการซึ่งได้กระทำต่อข้อมูลส่วนบุคคลไม่ว่าด้วยวิธีอัตโนมัติหรือไม่ ได้แก่ การเก็บรวบรวม การแก้ไข การบันทึก การจัดเรียบเรียง การเก็บรักษา การเรียกดู การนำกลับมาใช้ใหม่ การพิมพ์ การทำให้เข้าถึง การส่ง การจัดวางให้ถูกตำแหน่ง การจำกัด การลบ การทำลาย รวมถึงการจัดทำ การเปิดเผยและรายงานเชิงสถิติ
การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทําได้ภายใต้วัตถุประสงค์และเท่าที่จําเป็นตามกรอบวัตถุประสงค์ หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะเก็บรวบรวม หรือตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล โดยมีรายละเอียดดังต่อไปนี้
1) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละประเภท
3) ระยะเวลาในการเก็บรวบรวมไว้
4) ประเภทของบุคคล หรือหน่วยงานซึ่งอาจมีการเปิดเผยข้อมูลส่วนบุคคล
5) ข้อมูลหรือช่องทางการติดต่อกับบริษัท
6) สิทธิของเจ้าของข้อมูลส่วนบุคคล
7) แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคล ตามที่กฎหมายกําหนด หรือเพื่อเข้าทํา หรือปฏิบัติตามสัญญา
เว้นแต่ หากเข้าเงื่อนไขดังต่อไปนี้ บริษัทดำเนินการได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ก) ฐานสัญญา (Contract) เป็นการจำเป็นเพื่อการปฏิบัติตามหน้าที่ซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
ข) ฐานหน้าที่ตามกฎหมาย (Legal Obligation) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
ค) ฐานภารกิจของรัฐ (Public Task) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
ง) ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
จ) ฐานประโยชน์อันชอบธรรม (Legitimate Interest) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
บริษัทจะไม่เก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) ได้แก่ เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลชีวภาพ ข้อมูลอัตลักษณ์เสียง หรืออื่นๆ ตามที่กฎหมายกําหนด เป็นต้น เว้นแต่มีความจําเป็นต้องเก็บรวบรวม โดยต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล หรือตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ ยกเว้นในกรณีที่กฎหมายกําหนดให้สามารถ เก็บรวบรวมได้โดยไม่ต้องขอความยินยอม
การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคล ก่อนหรือในขณะทําการเก็บรวบรวม หรือเป็นการจําเป็น หรือตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายกําหนดให้ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมาย
บุคคล หรือนิติบุคคลอื่น ซึ่งได้รับข้อมูลส่วนบุคคลจากการที่เจ้าของข้อมูลส่วนบุคคลตกลงยินยอมให้เปิดเผย หรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ ซึ่งเจ้าของข้อมูลส่วนบุคคลได้ตกลงยินยอมให้ไว้กับบริษัทและตามที่บุคคล หรือนิติบุคคลนั้นได้แจ้งไว้กับบริษัทเท่านั้น
อย่างไรก็ตาม บริษัทอาจเปิดเผยข้อมูลส่วนบุคคล ภายใต้หลักเกณฑ์ที่กฎหมายกำหนด เช่น การเปิดเผยข้อมูลต่อหน่วยงานราชการ หน่วยงานภาครัฐ หน่วยงานกำกับดูแล รวมถึงในกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย เช่น การร้องขอข้อมูลเพื่อการฟ้องร้องหรือดำเนินคดีตามกฎหมาย หรือการร้องขอจากหน่วยงานเอกชน หรือบุคคลภายนอกอื่น ๆ ที่มีความเกี่ยวข้องกับกระบวนการทางกฎหมาย
บริษัทอาจมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังบริษัทในเครือกิจการ/ธุรกิจเดียวกันที่อยู่ต่างประเทศ หรือไปยังผู้รับข้อมูลอื่นซึ่งเป็นส่วนหนึ่งของการดำเนินธุรกิจตามปกติของบริษัท เช่น การส่งหรือโอนข้อมูลส่วนบุคคลไปเก็บไว้บน server/cloud ในประเทศต่างๆ โดยบริษัทจะดูแลการส่งหรือโอนข้อมูลส่วนบุคคลภายใต้หลักเกณฑ์ที่กฎหมายกำหนด และจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เห็นว่าจำเป็นและเหมาะสมสอดคล้องกับมาตรฐานการประมวลผลข้อมูลส่วนบุคคลและการรักษาความลับ
ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น ต้องถูกต้องเป็นปัจจุบัน สมบูรณ์ ไม่ก่อให้เกิดความเข้าใจผิด และต้องดําเนินการจัดให้มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลสามารถร้องขอใช้สิทธิ หรือแก้ไขข้อมูลส่วนบุคคลของตัวเองได้
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เป็นอย่างดีตามมาตรการเชิงเทคนิค (Technical Measure) และมาตรการเชิงบริหารจัดการ (Organizational Measure) เพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลข้อมูลส่วนบุคคลที่เหมาะสม และเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล โดยบริษัทได้กำหนดนโยบาย ระเบียบ และหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคล เช่น มาตรฐานความปลอดภัยของระบบเทคโนโลยีสารสนเทศ และมาตรการเพื่อป้องกันไม่ให้ผู้รับข้อมูลไปจากบริษัทใช้หรือเปิดเผยข้อมูลนอกวัตถุประสงค์ หรือโดยไม่มีอำนาจหรือโดยไม่ชอบ และบริษัทจะดำเนินการปรับปรุงนโยบาย ระเบียบ และหลักเกณฑ์ดังกล่าวเป็นระยะ ตามความจำเป็นและเหมาะสม
นอกจากนี้ ผู้บริหาร พนักงาน ลูกจ้าง ผู้รับจ้าง ตัวแทน ที่ปรึกษา และผู้รับข้อมูลจากบริษัทมีหน้าที่ต้องรักษาความลับข้อมูลส่วนบุคคลตามมาตรการรักษาความลับที่บริษัทกำหนดขึ้น
เพื่อประโยชน์ในการรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคล บริษัทได้มีมาตรการ ดังนี้
7.1 กําหนดสิทธิในการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล รวมถึง การแสดง หรือยืนยันตัวบุคคล ผู้เข้าถึง หรือใช้ข้อมูลส่วนบุคคล จัดให้มีมาตราการรักษาความปลอดภัย รวมถึง กระบวนการทบทวน และประเมินประสิทธิภาพของมาตรการรักษาความปลอดภัยดังกล่าว ทั้งนี้ เป็นไปตามนโยบายระบบบริหารความมั่นคงปลอดภัยสารสนเทศและข้อมูลส่วนบุคคลอย่างเคร่งครัด
7.2 ในการส่ง หรือการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนําข้อมูลส่วนบุคคลไปเก็บข้อมูลบนฐานข้อมูลในระบบอื่นใด ซึ่งผู้ให้บริการรับโอนข้อมูล หรือบริการเก็บรักษาข้อมูลอยู่ต่างประเทศ ประเทศปลายทางที่เก็บรักษาข้อมูลต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่า หรือดีกว่ามาตรการตามนโยบายฉบับนี้
7.3 ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความมั่นคงปลอดภัยของบริษัท จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงจะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การกระทำละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดําเนินการแจ้งเหตุการละเมิดพร้อมทั้งแนวทางการเยียวยาให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า ทั้งนี้ บริษัทจะไม่รับผิดชอบในกรณีความเสียหายใดๆ อันเกิดจากการที่เจ้าของข้อมูลส่วนบุคคล หรือบุคคลอื่นใดซึ่งได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล จงใจหรือประมาทเลินเล่อ หรือเพิกเฉยต่อมาตรการรักษาความปลอดภัย จนเป็นเหตุให้ข้อมูลส่วนบุคคลถูกใช้ หรือเปิดเผยต่อบุคคลที่สาม หรือบุคคลอื่นใด
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอเข้าถึงข้อมูลส่วนบุคคลของตน ขอรับสําเนา ขอถอนความยินยอม คัดค้าน การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ขอให้ลบทําลายหรือพักการใช้ ขอแก้ไขข้อมูลให้เป็นปัจจุบัน ร้องเรียน หรือขอให้โอนข้อมูลส่วนบุคคลของตนไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น เว้นแต่ เป็นการกระทบต่อสิทธิเสรีภาพของบุคคลอื่น เป็นการปฏิบัติหน้าที่เพื่อสาธารณะประโยชน์ หรือตามกฎหมาย หรือเพื่อการศึกษาวิจัย ทั้งนี้ เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
กรณีพบเหตุอันควรสงสัยหรือเชื่อว่ามีการกระทำละเมิดข้อมูลส่วนบุคคล การร้องเรียน หรือการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ หรือตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล สามารถติดต่อกับบริษัทได้ที่
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
หมายเลขโทรศัพท์ : 085 155 6214
Email Address: chanida.n@otocontacts.com
บริษัทจัดให้มีการฝึกอบรมและประเมินผลเกี่ยวกับการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ให้แก่บุคลากร พนักงาน ลูกจ้าง และบุคคลที่เกี่ยวข้องอย่างสม่ำเสมอ เพื่อให้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และทำให้มั่นใจได้ว่าบุคลากรของบริษัทได้เข้าร่วมอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและมีความรู้ความเข้าใจในการคุ้มครองข้อมูลส่วนบุคคล
บริษัทจะทำการทบทวนนโยบายฉบับนี้ อย่างน้อยปีละ 1 ครั้ง นับจากบังคับใช้ อย่างไรก็ตาม บริษัทอาจมีการปรับปรุงนโยบายตามระยะเวลาที่เหมาะสมและมีความจำเป็น หรือเมื่อกฎหมายมีการเปลี่ยนแปลงแก้ไข
