นโยบายการคุ้มครองข้อมูลส่วนบุคคล
นโยบายการคุ้มครองข้อมูลส่วนบุคคล

บริษัท แม็คกรุ๊ป จำกัด (มหาชน) ได้ตระหนักและให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า ผู้ถือหุ้น คู่ค้า และพนักงานของบริษัท จึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น เพื่อใช้เป็นหลัก รวมถึงการกำหนดหลักเกณฑ์และมาตรการในการคุ้มครองข้อมูลส่วนบุคคลให้ชัดเจนและเหมาะสม เพื่อคุ้มครอง และรับรองสิทธิของเจ้าของข้อมูลตามที่บทบัญญัติของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนกฎระเบียบต่าง ๆ ของหน่วยงานของรัฐที่กำกับดูแลเรื่องดังกล่าวกำหนด โดยที่ประชุมคณะกรรมการบริษัท แม็คกรุ๊ป จำกัด (มหาชน) ครั้งที่ 1/2564 เมื่อวันที่ 11 กุมภาพันธ์ 2564 มีมติอนุมัตินโยบายฉบับนี้แล้ว

1. ขอบเขตการบังคับใช้

  1. นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้มีผลบังคับใช้กับกรรมการ ที่ปรึกษา ผู้บริหาร ผู้สอบบัญชีและพนักงานของบริษัท รวมถึงคู่ค้า ลูกค้า และบุคคลธรรมดาหรือนิติบุคคลอื่นใดที่มีหน้าที่ตามสัญญากับบริษัท
  2. นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้มีผลบังคับใช้กับการดำเนินกิจการใด ๆ ของบริษัทที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

2. คำจำกัดความ

ให้คำและข้อความที่ใช้ในนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้มีความหมายดังต่อไปนี้

  1. บริษัท หมายถึง บริษัท แม็คกรุ๊ป จำกัด (มหาชน) และบริษัทย่อย
  2. บริษัทย่อย หมายถึง บริษัทจำกัด หรือบริษัทมหาชนจำกัด ซึ่งอยู่ภายใต้อำนาจควบคุมของ บริษัท แม็คกรุ๊ป จำกัด (มหาชน) โดยมีลักษณะตามที่ประกาศคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์กำหนด
  3. ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาที่สามารถระบุตัวตนของบุคคลนั้นได้ เช่น ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ วันเดือนปีเกิด เพศ อีเมล เลขบัตรประจำตัวประชาชน หรือข้อมูลอื่น ๆ ที่อาจจะระบุตัวตนของบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม
  4. เจ้าของข้อมูล หมายถึง บุคคลธรรมดาซึ่งข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าโดยทางตรงหรือทางอ้อม
  5. ผู้ควบคุมข้อมูล หมายถึง บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
  6. ผู้ประมวลผลข้อมูล หมายถึง บุคคลธรรมดาหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูล
  7. การประมวลผลข้อมูล หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การดัดแปลง การปรับเปลี่ยน การกู้คืน การให้คำปรึกษา การใช้ การเปิดเผย การส่งต่อ การเผยแพร่ การโอน การรวมเข้าด้วยกัน การลบ การทำลาย

3. วัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล

บริษัทอาจเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลเพื่อวัตถุประสงค์ดังต่อไปนี้

  1. เพื่อการเข้าทำสัญญา หรือปฏิบัติหน้าที่ตามสัญญาระหว่างบริษัทกับเจ้าของข้อมูล หรือปฏิบัติหน้าที่ตามสัญญาระหว่างบริษัทกับบุคคลภายนอกเพื่อประโยชน์ของเจ้าของข้อมูล
  2. เพื่อตอบคำถามและให้ความช่วยเหลือแก่เจ้าของข้อมูล
  3. เพื่อพัฒนาและปรับปรุงสินค้า ผลิตภัณฑ์ และบริการของบริษัทให้ตอบสนองต่อความต้องการของเจ้าของข้อมูลมากยิ่งขึ้น
  4. เพื่อให้ข้อมูลและแนะนำเกี่ยวกับสินค้า ผลิตภัณฑ์ การบริการ หรือประชาสัมพันธ์ทางการตลาด รายการส่งเสริมการขาย หรือสิทธิประโยชน์ผ่านช่องทางการติดต่อที่ได้รับจากเจ้าของข้อมูล
  5. เพื่อการสำรวจความคิดเห็น การวิเคราะห์ การทำวิจัย และจัดทำข้อมูลทางสถิติ เพื่อใช้ทางการตลาด หรือการพัฒนาและปรับปรุงการดำเนินกิจการของบริษัท
  6. เพื่อประโยชน์ในการบริหารจัดการงานหรือดำเนินงานภายในของบริษัทที่จำเป็นภายใต้ประโยชน์โดยชอบด้วยกฎหมาย
  7. เพื่อการตรวจสอบ กำกับดูแล และรักษาความปลอดภัยบริเวณอาคารหรือสถานที่ของบริษัท
  8. เพื่อการปฏิบัติตามกฎหมายที่เกี่ยวข้องกับการดำเนินงานของบริษัท เช่น การหักภาษี ณ ที่จ่าย
  9. เพื่อให้ข้อมูลแก่หน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมายตามที่หน่วยงานของรัฐร้องขอ เช่น สำนักงานตำรวจแห่งชาติ สำนักงานป้องกันและปราบปรามการฟอกเงิน กรมสรรพากร ศาล

4. การเก็บรวบรวมข้อมูลส่วนบุคคล

  1. แหล่งที่มาของข้อมูลส่วนบุคคล

    บริษัทอาจได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลจากแหล่งที่มา ดังนี้

    1. เก็บรวบรวมโดยตรงจากเจ้าของข้อมูล เช่น การกรอกข้อมูลโดยเจ้าของข้อมูลผ่านแบบฟอร์มในรูปแบบกระดาษหรือรูปแบบอิเล็กทรอนิกส์
    2. เก็บรวบรวมจากแหล่งอื่น เช่น ได้รับจากบุคคลภายนอกภายใต้ความยินยอมที่เจ้าของข้อมูลให้ไว้ต่อผู้เปิดเผยข้อมูล หรือจากผู้ประมวลผลข้อมูลที่บริษัทมีคำสั่งให้ทำการเก็บรวบรวมแทนหรือในนามของบริษัท
  2. ข้อมูลส่วนบุคคลที่บริษัทอาจเก็บรวบรวม
    1. ข้อมูลเฉพาะบุคคล เช่น ชื่อ นามสกุล วันเดือนปีเกิด สัญชาติ หมายเลขบัตรประจำตัวประชาชน หรือเอกสารอื่น ๆ ที่สามารถระบุตัวตนได้ซึ่งออกให้โดยหน่วยงานของรัฐ
    2. ข้อมูลสำหรับการติดต่อ เช่น ที่อยู่ อีเมล หมายเลขโทรศัพท์
    3. ข้อมูลที่เกี่ยวเนื่องกับการใช้งานเว็บไซต์ เช่น Username Password ข้อมูล IP address ข้อมูลคุกกี้ (Cookies)
    4. ข้อมูลอ่อนไหว เช่น ศาสนา ข้อมูลสุขภาพ ประวัติอาชญากรรม
    5. ข้อมูลอื่น ๆ ที่ถือว่าเป็นข้อมูลส่วนบุคคล เช่น การบันทึกเสียง ภาพถ่าย ภาพเคลื่อนไหวจากกล้องวงจรปิด ลายนิ้วมือ
  3. หลักเกณฑ์การเก็บรวบรวมข้อมูลส่วนบุคคล

    บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลไว้ โดยบริษัทจะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ในกรณีดังต่อไปนี้ บริษัทสามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม

    1. เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ โดยบริษัทจะจัดให้มีมาตรการป้องกันเหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูล
    2. เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
    3. เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลเป็นคู่สัญญาหรือเพื่อดำเนินการตามคำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญา
    4. เป็นการจำเป็นเพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบหมายให้แก่บริษัท
    5. เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท หรือของบุคคลหรือนิติบุคคลอื่น เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของ เจ้าของข้อมูล
    6. เพื่อปฏิบัติตามกฎหมาย เช่น พระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิต พ.ศ. 2559 ประมวลกฎหมายแพ่งและพาณิชย์ หรือประมวลกฎหมายอาญา เป็นต้น

5. การใช้และการเปิดเผยข้อมูลส่วนบุคคล

บริษัทอาจใช้และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลโดยมีวัตถุประสงค์ที่สอดคล้องตามข้อ 3. และอาจเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นให้แก่หน่วยงานหรือบุคคลภายนอกภายใต้ความยินยอมของเจ้าของข้อมูล หรือภายใต้ขอบเขตที่กฎหมายอนุญาตให้เปิดเผยได้ โดยบุคคลหรือหน่วยงานที่เป็นผู้รับข้อมูลดังกล่าวจะเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลตามขอบเขตที่เจ้าของข้อมูลได้ให้ความยินยอมไว้ หรือขอบเขตที่เกี่ยวข้องในนโยบายฉบับนี้ หรือขอบเขตที่กฎหมายกำหนด

ทั้งนี้ ข้อมูลส่วนบุคคลของเจ้าของข้อมูลอาจถูกเปิดเผยให้แก่หน่วยงานหรือบุคคล ดังต่อไปนี้

  1. บริษัท แม็คกรุ๊ป จำกัด (มหาชน) และบริษัทย่อย รวมถึงกรรมการ ผู้บริหาร ที่ปรึกษา และพนักงานของบริษัท
  2. คู่สัญญา ผู้ให้บริการ และพันธมิตรทางธุรกิจของบริษัท ที่มีความสัมพันธ์หรือสัญญากับบริษัท
  3. ผู้สอบบัญชี
  4. หน่วยงานของรัฐซึ่งมีอำนาจหน้าที่ตามกฎหมาย เช่น สำนักงานป้องกันและปราบปรามการฟอกเงิน สำนักงานตำรวจแห่งชาติ กรมสรรพากร กรมบังคับคดี ศาล
  5. หน่วยงานหรือองค์กรอื่นใดที่เกี่ยวข้องหรืออาจเกี่ยวกับการดำเนินธุรกิจของบริษัท เช่น ธนาคาร สถาบันทางการเงิน ผู้รับประกันภัย โรงพยาบาล

6. กำหนดระยะเวลาในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามระยะเวลาที่จำเป็นในระหว่างที่เจ้าของข้อมูลเป็นลูกค้า คู่ค้า พนักงาน หรือมีความสัมพันธ์อยู่กับบริษัท หรือตามระยะเวลาที่เหมาะสมและจำเป็นสำหรับข้อมูลส่วนบุคคลแต่ละประเภท ทั้งนี้ บริษัทอาจจำเป็นต้องเก็บรักษาไว้ต่อไปภายหลังจากนั้นแล้วแต่กรณี หากมีกฎหมายกำหนดหรืออนุญาตไว้ เช่น จัดเก็บไว้ตามกฎหมายว่าด้วยภาษี กฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน กฎหมายว่าด้วยหลักทรัพย์และตลาดหลักทรัพย์ หรือจัดเก็บไว้ภายในอายุความตามที่กฎหมายกำหนดเป็นระยะเวลาไม่เกิน 10 ปี

ทั้งนี้ บริษัทจะลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุถึงตัวตนของเจ้าของข้อมูลได้เมื่อหมดความจำเป็นหรือสิ้นสุดระยะเวลาดังกล่าว

7. สิทธิของเจ้าของข้อมูลส่วนบุคคล

  1. ขอเข้าถึงข้อมูล ขอรับสำเนา หรือขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนได้
  2. ขอให้โอนข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนได้
  3. ขอให้ดำเนินการแก้ไข เพิ่มเติม เปลี่ยนแปลง ให้ข้อมูลส่วนบุคคลนั้นถูกต้องสมบูรณ์เป็นปัจจุบัน
  4. คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนเมื่อใดก็ได้
  5. ขอให้ระงับการใช้ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนได้
  6. ขอให้ลบหรือทำลายหรือทำให้ไม่สามารถระบุตัวบุคคลที่เกี่ยวข้องกับตนได้
  7. เพิกถอนความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยซึ่งข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนได้

ทั้งนี้ การใช้สิทธิดังกล่าวข้างต้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่บริษัทกำหนด อย่างไรก็ตาม บริษัทอาจปฏิเสธคำขอของเจ้าของข้อมูลได้ภายใต้ขอบเขตที่กฎหมายกำหนด

8. มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

บริษัทกำหนดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่มีมาตรฐานทั้งในด้านเทคโนโลยีและวิธีปฏิบัติเพื่อควบคุมและป้องกันการสูญหาย การรั่วไหล การโจรกรรม การเข้าถึง การใช้ การแก้ไข การเปลี่ยนแปลง การเปิดเผย การทำลาย และการโอนข้อมูลส่วนบุคคล โดยไม่มีอำนาจหรือขัดต่อบทบัญญัติของกฎหมาย ดังต่อไปนี้

  1. บริษัทจะกำหนดสิทธิในการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล รวมถึงการแสดงหรือยืนยันตัวบุคคล ผู้เข้าถึง หรือใช้ หรือประมวลผลข้อมูลส่วนบุคคล
  2. บริษัทจะจัดทำและรักษาบันทึกการประมวลข้อมูลส่วนบุคคล (Records of Processing) เพื่อบันทึกรายการหรือกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
  3. ในกรณีที่บริษัท ในฐานะผู้ควบคุมข้อมูล ได้ว่าจ้างบุคคลภายนอก ในฐานะผู้ประมวลผลข้อมูล ให้ทำการประมวลผลข้อมูลส่วนบุคคลในนามของบริษัท บริษัทจะจัดให้คู่สัญญาทำสัญญาการประมวลผลข้อมูลส่วนบุคคลเพื่อกำหนดขอบเขต วัตถุประสงค์ หน้าที่ และความรับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับนโยบายฉบับนี้ และบทบัญญัติของกฎหมาย
  4. ในการส่ง หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บบนฐานข้อมูลในระบบอื่นใด ซึ่งผู้ให้บริการรับโอนข้อมูลหรือบริการเก็บรักษาข้อมูลอยู่ต่างประเทศ ประเทศปลายทางที่เก็บรักษาข้อมูลต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่าหรือดีกว่ามาตรการตามนโยบายนี้
  5. ในกรณีที่มีการฝ่าฝืนมาตรการ การรักษาความมั่นคงปลอดภัยของบริษัท จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคล หรือข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ บริษัทจะดำเนินการแจ้งเจ้าของข้อมูลให้ทราบโดยเร็ว รวมทั้งแจ้งแผนการเยียวยาความเสียหายจากการละเมิด หรือการรั่วไหลของข้อมูลส่วนบุคคลสู่สาธารณะ ในกรณีที่เกิดจากความบกพร่องของบริษัท ทั้งนี้ บริษัทจะไม่รับผิดชอบในกรณีความเสียหายใด ๆ อันเกิดจากการใช้หรือการเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่สาม รวมถึงการละเลย หรือเพิกเฉยการออกจากระบบ (Log out) ฐานข้อมูล หรือระบบสื่อสังคมออนไลน์ โดยการกระทำของเจ้าของข้อมูลหรือบุคคลซึ่งได้รับความยินยอมจากเจ้าของข้อมูล
  6. บริษัทมีการดำเนินการสอบทานและประเมินประสิทธิภาพของระบบรักษาความปลอดภัยของข้อมูลส่วนบุคคลโดยหน่วยงานตรวจสอบภายใน

9. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

บริษัทได้มีการดำเนินการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) และหน่วยงานซึ่งทำหน้าที่ตรวจสอบและกำกับดูแลการดำเนินกิจการของบริษัทให้เป็นไปตามนโยบายฉบับนี้และตามที่กฎหมายกำหนด ประกอบด้วยหน่วยงานดังนี้

  1. หน่วยงานเทคโนโลยีสารสนเทศ
  2. หน่วยงานกฎหมาย
  3. หน่วยงานตรวจสอบภายใน

10. บทกำหนดโทษ

บุคคลใดซึ่งละเลยหรือละเว้นไม่ปฏิบัติ หรือปฏิบัติการใด ๆ อันเป็นการฝ่าฝืนต่อนโยบายคุ้มครองข้อมูล ส่วนบุคคลฉบับนี้ รวมถึงวิธีปฏิบัติที่เกี่ยวข้อง และบทบัญญัติของกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล อาจมีความผิดและได้รับการลงโทษทางวินัยตามข้อบังคับการทำงานของบริษัท หรือตามที่บริษัทพิจารณาเห็นสมควรแก่กรณี รวมถึงการดำเนินคดีหรือการรับโทษตามที่กฎหมายกำหนด

11. การทบทวนนโยบาย

บริษัทอาจมีการทบทวนหรือปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ตามโอกาส เพื่อให้เหมาะสมและสอดคล้องต่อบทบัญญัติของกฎหมายที่เกี่ยวข้อง รวมถึงเพื่อให้เกิดผลในทางปฏิบัติที่ดียิ่งขึ้น

12. ช่องทางการติดต่อบริษัท

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Office)
บริษัท แม็คกรุ๊ป จำกัด (มหาชน)
เลขที่ 448, 450 แขวงประเวศ เขตประเวศ กรุงเทพมหานคร 10250
โทรศัพท์: 0 2117 9999
อีเมล: dpo@mcgroupnet.com