นโยบายความปลอดภัย
- ข้อความทดสอบ
นโยบายความปลอดภัย (หน้าสมัครสมาชิก)
บริษัท ไอชิพ จำกัด ได้ออกนโยบายคุ้มครองข้อมูลส่วนบุคคล ลงวันที่ 10 มิถุนายน 2565 เพื่อใช้เป็นแนวทางในการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคล และทำให้เกิดความมั่นใจว่าข้อมูลส่วนบุคคลของผู้ที่เกี่ยวข้องทั้งหมด อาทิเช่น พนักงาน ลูกค้า ผู้รับจ้างเหมาบริการ หรือผู้เข้าชมงาน จะได้รับการคุ้มครองตามที่กฎหมายกำหนดซึ่งเป็นไปตามแนวปฏิบัติที่บริษัทได้ยึดถือและให้ความสำคัญต่อการรักษาข้อมูลส่วนบุคคลมาโดยตลอด และการนำข้อมูลส่วนบุคคลไปแสวงหาผลประโยชน์โดยมิชอบหรือเปิดเผยข้อมูลที่อาจทำให้เกิดความเสียหายหรือทำให้สามารถระบุถึงตัวบุคคลได้โดยไม่ได้รับความยินยอมเป็นการกระทำที่เป็นการละเมิดทั้งต่อบุคคลและบริษัท ซึ่งมีความผิดทั้งด้านวินัยและกฎหมาย และเพื่อให้การดำเนินงานของบริษัทตลอดจนแนวทางการปฏิบัติของพนักงานทุกคนมีความชัดเจนและสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลและนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทที่กำหนดโดยอาศัยอำนาจตามนโยบายคุ้มครองข้อมูลส่วนบุคคล ที่ประธานเจ้าหน้าที่บริหารได้ให้ความเห็นชอบอนุมัติ บริษัทจึงได้จัดทำระบบบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลขึ้น โดยมีวัตถุประสงค์ เพื่อให้การปฏิบัติงานตามหน้าที่ในการบริหารจัดการข้อมูลส่วนบุคคลของบริษัท ทั้งการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล และการป้องกันข้อมูลให้มีความมั่นคงและปลอดภัย ตลอดจนการควบคุมการปฏิบัติงานภายในบริษัทเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลของทุกคนเป็นไปตามที่กฎหมายกำหนด ดังนี้
1. ให้นำระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลรวมถึงเอกสารของระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลที่กำหนดไว้ เช่น คู่มือ ข้อกำหนด ระเบียบปฏิบัติหรือแบบฟอร์มต่าง ๆ เป็นต้น มาบังคับใช้ตั้งแต่วันที่ 10 มิถุนายน 2565 ยกเว้นระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลต่าง ๆ ให้ทำการประกาศให้มีผลบังคับใช้อีกครั้ง เพื่อเป็นการเตรียมความพร้อมของพนักงานในการปฏิบัติ รวมถึงความพร้อมของระบบการป้องกันความปลอดภัยของข้อมูลโดยจะมีการประเมินและตรวจสอบความพร้อมของพนักงาน
2. ให้แต่งตั้งผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล และผู้รับผิดชอบตามข้อกำหนดหรือระเบียบ และให้มีหน้าที่ตามที่คู่มือ ข้อกำหนด หรือระเบียบปฏิบัติภายใต้ระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลกำหนด
3. ให้พนักงานที่มีการปฏิบัติงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ทั้งการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ดำเนินการเท่าที่จำเป็นตามวัตถุประสงค์ และต้องขอความยินยอมจากเจ้าของข้อมูล เว้นแต่ในกรณีที่ข้อมูลส่วนบุคคลนั้นไม่จำต้องขอความยินยอมตามกฎหมาย ตลอดจนการ ลบหรือทำลายข้อมูล และควบคุมการปฏิบัติงานให้เป็นไปตามระบบบริหารจัดการคุ้มครองข้อมูลบุคคล รวมถึงคู่มือ ข้อกำหนด และระเบียบปฏิบัติภายใต้ระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล
4. พนักงานที่กระทำการละเมิด ฝ่าฝืนนโยบาย ระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล และคู่มือ ข้อกำหนด หรือระเบียบปฏิบัติที่กำหนด บริษัทจะถือว่าเป็นการละเมิดทั้งต่อบุคคลและบริษัท ซึ่งเป็นการกระทำที่ผิดวินัย และผิดกฎหมาย นโยบายความเป็นส่วนตัวสำหรับสมาชิก (หน้า dashboard)
บริษัทไอชิพจำกัดให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของสมาชิก โดยนโยบายความเป็นส่วนตัวฉบับนี้ได้อธิบายแนวทางปฏิบัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย
การเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับโดยตรงจากสมาชิกผ่านช่องทาง ดังต่อไปนี้
- การสมัครสมาชิก
- โทรศัพท์
- Email
- Facebook Login
- Google Login ประเภทข้อมูลส่วนบุคคลที่เก็บรวบรวม
- ข้อมูลส่วนบุคคล เช่น ชื่อ นามสกุล เลขประจำตัวประชาชน หนังสือเดินทาง เป็นต้น
- ข้อมูลการติดต่อ เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล เป็นต้น
- ข้อมูลบัญชี เช่น บัญชีผู้ใช้งาน ประวัติการใช้งาน เป็นต้น
- หลักฐานแสดงตัวตน เช่น สำเนาบัตรประจำตัวประชาชน สำเนาหนังสือเดินทาง เป็นต้น
- ข้อมูลการทำธุรกรรมและการเงิน เช่น บัญชีธนาคาร เป็นต้น
- ข้อมูลทางเทคนิค เช่น IP address, Cookie ID, ประวัติการใช้งานเว็บไซต์ (Activity Log) เป็นต้น
- ข้อมูลอื่น ๆ เช่นรูปภาพภาพเคลื่อนไหวและข้อมูลอื่นใดที่ถือว่าเป็นข้อมูลส่วนบุคคล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ผู้เยาว์
หากสมาชิกมีอายุต่ำกว่า 20 ปี หรือมีข้อจำกัดความสามารถตามกฎหมาย บริษัทอาจทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของสมาชิก นอกจากนี้บริษัทอาจจำเป็นต้องให้บิดามารดาหรือผู้ปกครองของสมาชิกให้ความยินยอมในกรณีที่กฎหมายอนุญาตให้ทำได้ หากบริษัททราบว่ามีการเก็บรวบรวมข้อมูลส่วนบุคคลจากผู้เยาว์โดยไม่ได้รับความยินยอมจากบิดามารดาหรือผู้ปกครองของผู้เยาว์ บริษัทจะดำเนินการลบข้อมูลนั้นออกจากเซิร์ฟเวอร์ของบริษัท วิธีการเก็บรักษาข้อมูลส่วนบุคคล
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของสมาชิกในรูปแบบเอกสารและรูปแบบอิเล็กทรอนิกส์โดยบริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของสมาชิก ดังต่อไปนี้
- ผู้ให้บริการเซิร์ฟเวอร์ในต่างประเทศ
- การประมวลผลข้อมูลส่วนบุคคล
- บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของสมาชิกเพื่อวัตถุประสงค์ดังต่อไปนี้
- เพื่อสร้างและจัดการบัญชีผู้ใช้งาน
- เพื่อจัดส่งสินค้าหรือบริการ
- เพื่อปรับปรุงสินค้า บริการ หรือประสบการณ์การใช้งาน
- เพื่อการบริหารจัดการภายในบริษัท
- เพื่อการตลาดและการส่งเสริมการขาย
- เพื่อการบริการหลังการขาย
- เพื่อรวบรวมข้อเสนอแนะ
- เพื่อชำระค่าสินค้าหรือบริการ
- เพื่อปฏิบัติตามข้อตกลงและเงื่อนไข (Terms and Conditions)
- เพื่อปฏิบัติตามกฎหมายและกฎระเบียบของหน่วยงานราชการ
การเปิดเผยข้อมูลส่วนบุคคล
บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของสมาชิกให้แก่ผู้อื่นภายใต้ความยินยอมของสมาชิกหรือที่กฎหมายอนุญาตให้เปิดเผยได้ ดังต่อไปนี้
การบริหารจัดการภายในองค์กร
บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของสมาชิกภายในบริษัทเท่าที่จำเป็นเพื่อปรับปรุงและพัฒนาสินค้าหรือบริการของบริษัท บริษัทอาจรวบรวมข้อมูลภายในเกี่ยวกับสินค้าหรือบริการต่าง ๆ ภายใต้นโยบายนี้เพื่อประโยชน์ของสมาชิกและผู้อื่นมากขึ้น
ผู้ให้บริการ
บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของสมาชิกบางอย่างให้กับผู้ให้บริการของบริษัทเท่าที่จำเป็นเพื่อดำเนินงานในด้านต่าง ๆ เช่น การชำระเงิน การตลาด การพัฒนาสินค้าหรือบริการ เป็นต้น ทั้งนี้ ผู้ให้บริการมีนโยบายความเป็นส่วนตัวของตนเอง
ระยะเวลาจัดเก็บข้อมูลส่วนบุคคล
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของสมาชิกไว้ตามระยะเวลาที่จำเป็นในระหว่างที่สมาชิกได้ใช้บริการหรือมีความสัมพันธ์อยู่กับบริษัทหรือตลอดระยะเวลาที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวข้องกับนโยบายฉบับนี้ ซึ่งอาจจำเป็นต้องเก็บรักษาไว้ต่อไปภายหลังจากนั้น หากมีกฎหมายกำหนดไว้ บริษัทจะลบ ทำลาย หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวตนของสมาชิกได้ เมื่อหมดความจำเป็นหรือสิ้นสุดระยะเวลาดังกล่าว
สิทธิของเจ้าของข้อมูลส่วนบุคคล
ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล สมาชิกมีสิทธิในการดำเนินการดังต่อไปนี้
- สิทธิขอถอนความยินยอม (right to withdraw consent) หากสมาชิกได้ให้ความยินยอม บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของสมาชิกไม่ว่าจะเป็นความยินยอมที่สมาชิกให้ไว้ก่อนวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับหรือหลังจากนั้น สมาชิกมีสิทธิที่จะถอนความยินยอมเมื่อใดก็ได้ตลอดเวลา
- สิทธิขอเข้าถึงข้อมูล (right to access) สมาชิกมีสิทธิขอเข้าถึงข้อมูลส่วนบุคคลของสมาชิกที่อยู่ในความรับผิดชอบของบริษัทและขอให้บริษัททำสำเนาข้อมูลดังกล่าวให้แก่สมาชิก รวมถึงขอให้บริษัทเปิดเผยว่าบริษัทได้ข้อมูลส่วนบุคคลของสมาชิกมาได้อย่างไร
- สิทธิขอถ่ายโอนข้อมูล (right to data portability) สมาชิกมีสิทธิขอรับข้อมูลส่วนบุคคลของสมาชิก ในกรณีที่บริษัทได้จัดทำข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบให้สามารถอ่านหรือใช้งานได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิขอให้บริษัทส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติและมีสิทธิขอรับข้อมูลส่วนบุคคลที่บริษัทส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่ไม่สามารถดำเนินการได้เพราะเหตุทางเทคนิค
- สิทธิขอคัดค้าน (right to object) สมาชิกมีสิทธิขอคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของสมาชิกในเวลาใดก็ได้ หากการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของสมาชิกที่ทำขึ้นเพื่อการดำเนินงานที่จำเป็นภายใต้ประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือของบุคคลหรือนิติบุคคลอื่น โดยไม่เกินขอบเขตที่สมาชิกสามารถคาดหมายได้อย่างสมเหตุสมผลหรือเพื่อดำเนินการตามภารกิจเพื่อสาธารณประโยชน์
- สิทธิขอให้ลบหรือทำลายข้อมูล (right to erasure/destruction) สมาชิกมีสิทธิขอลบหรือทำลายข้อมูลส่วนบุคคลของสมาชิกหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวสมาชิกได้ หากสมาชิกเชื่อว่าข้อมูลส่วนบุคคลของสมาชิกถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายที่เกี่ยวข้องหรือเห็นว่าบริษัทหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่เกี่ยวข้องในนโยบายฉบับนี้ หรือเมื่อสมาชิกได้ใช้สิทธิขอถอนความยินยอมหรือใช้สิทธิขอคัดค้านตามที่แจ้งไว้ข้างต้นแล้ว
- สิทธิขอให้ระงับการใช้ข้อมูล (right to restriction of processing) สมาชิกมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลชั่วคราวในกรณีที่บริษัทอยู่ระหว่างตรวจสอบตามคำร้องขอใช้สิทธิขอแก้ไขข้อมูลส่วนบุคคลหรือขอคัดค้านของสมาชิกหรือกรณีอื่นใดที่บริษัทหมดความจำเป็นและต้องลบหรือทำลายข้อมูลส่วนบุคคลของสมาชิกตามกฎหมายที่เกี่ยวข้องแต่สมาชิกขอให้บริษัทระงับการใช้แทน
- สิทธิขอให้แก้ไขข้อมูล (right to rectification) สมาชิกมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลของสมาชิกให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
- สิทธิร้องเรียน (right to lodge a complaint) สมาชิกมีสิทธิร้องเรียนต่อผู้มีอำนาจตามกฎหมายที่เกี่ยวข้อง หากสมาชิกเชื่อว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของสมาชิก เป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายที่เกี่ยวข้อง
สมาชิกสามารถใช้สิทธิของสมาชิกในฐานะเจ้าของข้อมูลส่วนบุคคลข้างต้นได้ โดยติดต่อมาที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทตามรายละเอียดท้ายนโยบายนี้ บริษัทจะแจ้งผลการดำเนินการภายในระยะเวลา 30 วัน นับแต่วันที่บริษัทได้รับคำขอใช้สิทธิจากสมาชิก ตามแบบฟอร์มหรือวิธีการที่บริษัทกำหนด ทั้งนี้ หากบริษัทปฏิเสธคำขอบริษัทจะแจ้งเหตุผลของการปฏิเสธให้สมาชิกทราบผ่านช่องทางต่าง ๆ เช่น ข้อความ (SMS) อีเมล โทรศัพท์ จดหมาย เป็นต้น
การโฆษณาและการตลาด
บริษัทอาจส่งข้อมูลหรือจดหมายข่าวไปยังอีเมลของสมาชิก โดยมีวัตถุประสงค์เพื่อเสนอสิ่งที่น่าสนกับสมาชิก หากสมาชิกไม่ต้องการรับการติดต่อสื่อสารจากบริษัทผ่านทางอีเมลอีกต่อไป สมาชิกสามารถกด “ยกเลิกการติดต่อ” ในลิงก์อีเมลหรือติดต่อมายังอีเมลของบริษัทได้
เทคโนโลยีติดตามตัวบุคคล (Cookies)
เพื่อเพิ่มประสบการณ์การใช้งานของสมาชิกให้สมบูรณ์และมีประสิทธิภาพมากขึ้น บริษัทใช้คุกกี้ (Cookies)หรือเทคโนโลยีที่คล้ายคลึงกัน เพื่อพัฒนาการเข้าถึงสินค้าหรือบริการ โฆษณาที่เหมาะสม และติดตามการใช้งานของสมาชิก บริษัทใช้คุกกี้เพื่อระบุและติดตามผู้ใช้งานเว็บไซต์และการเข้าถึงเว็บไซต์ของบริษัท หากสมาชิกไม่ต้องการให้มีคุกกี้ไว้ในคอมพิวเตอร์ของสมาชิก สมาชิกสามารถตั้งค่าบราวเซอร์เพื่อปฏิเสธคุกกี้ก่อนที่จะใช้เว็บไซต์ของบริษัทได้
การรักษาความมั่งคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัทจะรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของสมาชิกไว้ตามหลักการ การรักษาความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผย นอกจากนี้บริษัทจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control)
การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
ในกรณีที่มีเหตุละเมิดข้อมูลส่วนบุคคลของสมาชิกเกิดขึ้น บริษัทจะแจ้งให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่สามารถกระทำได้ ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของสมาชิก บริษัทจะแจ้งการละเมิดนั้นให้สมาชิกทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าผ่านช่องทางต่าง ๆ เช่น เว็บไซต์ ข้อความ (SMS) อีเมล โทรศัพท์ จดหมาย เป็นต้น
การแก้ไขเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
บริษัทอาจแก้ไขเปลี่ยนแปลงนโยบายนี้เป็นครั้งคราว โดยสมาชิกสามารถทราบข้อกำหนดและเงื่อนไขนโยบายที่มีการแก้ไขเปลี่ยนแปลงนี้ได้ผ่านทางเว็บไซต์ของบริษัท
นโยบายนี้แก้ไขล่าสุดและมีผลใช้บังคับตั้งแต่วันที่ 11 พฤศจิกายน 2564
นโยบายความเป็นส่วนตัวของเว็บไซต์อื่น
นโยบายความเป็นส่วนตัวฉบับนี้ใช้สำหรับการเสนอสินค้า บริการ และการใช้งานบนเว็บไซต์สำหรับสมาชิกของบริษัทเท่านั้น หากสมาชิกเข้าชมเว็บไซต์อื่นแม้จะผ่านช่องทางเว็บไซต์ของบริษัท การคุ้มครองข้อมูลส่วนบุคคลต่าง ๆ จะเป็นไปตามนโยบายความเป็นส่วนตัวของเว็บไซต์นั้น ซึ่งบริษัทไม่มีส่วนเกี่ยวข้อง
รายละเอียดการติดต่อ
หากสมาชิกต้องการสอบถามข้อมูลเกี่ยวกับนโยบายความเป็นส่วนตัวฉบับนี้ รวมถึงการขอใช้สิทธิต่าง ๆ สมาชิกสามารถติดต่อบริษัทหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทได้ ดังนี้
ผู้ควบคุมข้อมูลส่วนบุคคล
บริษัท ไอชิพ เซอร์วิส จำกัด
บริษัท ไอชิพ เซอร์วิส จำกัด