บริษัท เอนเนอร์ยี่ คอมเพล็กซ์ จำกัด (“บริษัท”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล จึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ฉบับนี้ โดยนโยบายนี้อธิบายวิธีการที่บริษัทปฏิบัติต่อข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย ตลอดจนสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลฯ ทราบถึงนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
ข้อ 1. คำนิยาม
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลอ่อนไหว” หมายถึง ข้อมูลที่มีลักษณะละเอียดอ่อนและอาจก่อให้เกิดความเสี่ยงต่อการเลือกปฏิบัติ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
“คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” หมายถึง คณะกรรมการที่ได้รับการแต่งตั้งให้มีอำนาจหน้าที่กำกับดูแล ออกหลักเกณฑ์ มาตรการ หรือข้อปฏิบัติอื่นใดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“เจ้าของข้อมูลส่วนบุคคล” (Data Subject) หมายถึง ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น โดยไม่เกี่ยวกับความเป็นเจ้าของข้อมูล (Ownership) หรือการเป็นผู้สร้าง/ผู้เก็บรวบรวมข้อมูลนั้นเอง โดยหมายถึงเฉพาะบุคคลธรรมดา ไม่รวมถึงนิติบุคคล
เจ้าของข้อมูลส่วนบุคคล ได้แก่
- ผู้บรรลุนิติภาวะ (อายุ 20 ปีบริบูรณ์ขึ้นไป หรือคู่สมรสตั้งแต่อายุ 17 ปีบริบูรณ์ขึ้นไป หรือผู้ที่ศาลอนุญาตให้สมรส หรือผู้เยาว์ซึ่งผู้แทนโดยชอบธรรมยินยอมให้ประกอบธุรกิจ/ทำสัญญาจ้างแรงงาน มีฐานะเสมือนบรรลุนิติภาวะ)
- ผู้เยาว์ (อายุต่ำกว่า 20 ปีบริบูรณ์) การให้ความยินยอมต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง
- คนเสมือนไร้ความสามารถ (ศาลสั่งให้เป็น ด้วยเหตุจำพวกพิการหรือจิตฟั่นเฟือน ฯลฯ) ต้องได้รับความยินยอมจากผู้พิทักษ์
- คนไร้ความสามารถ (ศาลสั่งให้เป็นบุคคลวิกลจริต) ต้องได้รับความยินยอมจากผู้อนุบาล
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ ผู้ดำเนินการดังกล่าวไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
ข้อ 2. แหล่งที่มาของข้อมูลส่วนบุคคล
โดยหลักทั่วไป บริษัทจะไม่เก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ในกรณีต่อไปนี้
- ได้รับจากเจ้าของข้อมูลโดยตรงจากขั้นตอนการให้บริการ เช่น การลงทะเบียนสมัคร การรับข่าวสาร การสมัครงาน การตอบแบบสำรวจ หรือการติดต่อสื่อสารผ่านอีเมล/ช่องทางอื่น รวมถึงการใช้งานเว็บไซต์ผ่านเบราว์เซอร์คุกกี้ และการทำธุรกรรมทางอิเล็กทรอนิกส์
- ได้รับจากบุคคลที่สาม โดยบริษัทเชื่อโดยสุจริตว่าบุคคลดังกล่าวมีสิทธิในการเก็บและเปิดเผยข้อมูลดังกล่าวต่อบริษัท
ข้อ 3. การเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทจะเก็บรวบรวมข้อมูลโดยมีวัตถุประสงค์ ขอบเขต และวิธีการที่ชอบด้วยกฎหมายและเป็นธรรม เก็บเท่าที่จำเป็นต่อการดำเนินงานตามวัตถุประสงค์ของบริษัท และจะทำให้เจ้าของข้อมูลรับรู้/ให้ความยินยอมทางอิเล็กทรอนิกส์หรือตามแบบวิธีการของบริษัท กรณีข้อมูลอ่อนไหว บริษัทจะขอความยินยอมโดยชัดแจ้ง เว้นแต่เข้าเงื่อนไขยกเว้นตามกฎหมาย
ข้อ 4. วัตถุประสงค์ในการเก็บรวบรวม หรือใช้ข้อมูลส่วนบุคคล
บริษัทจะเก็บหรือใช้ข้อมูลเพื่อประโยชน์ในการดำเนินงาน เช่น การจัดซื้อจัดจ้าง การทำสัญญา ธุรกรรมทางการเงิน การดำเนินกิจกรรมบริษัท การติดต่อประสานงาน วิเคราะห์และพัฒนากระบวนการทำงาน ปรับปรุงคุณภาพการทำงาน รวมถึงเพื่อปฏิบัติตามกฎหมาย/ระเบียบที่เกี่ยวข้อง โดยจะเก็บ/use ข้อมูลตามระยะเวลาที่จำเป็นตามวัตถุประสงค์ที่แจ้ง หรือที่กฎหมายกำหนด
บริษัทจะไม่ใช้เพื่อวัตถุประสงค์อื่น เว้นแต่ (1) ได้แจ้งวัตถุประสงค์ใหม่และได้รับความยินยอม หรือ (2) เป็นการปฏิบัติตามกฎหมายที่เกี่ยวข้อง
ข้อ 5. การเปิดเผยข้อมูลส่วนบุคคล
บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลแก่บุคคลใดโดยปราศจากความยินยอม และจะเปิดเผยตามวัตถุประสงค์ที่แจ้งไว้ ทั้งนี้ เพื่อประโยชน์ต่อการดำเนินงานและการให้บริการ บริษัทอาจจำเป็นต้องเปิดเผยข้อมูลแก่บริษัทในเครือหรือผู้ให้บริการที่เกี่ยวข้อง ทั้งในและต่างประเทศ โดยจะกำหนดให้คู่สัญญา/ผู้รับข้อมูลรักษาความลับและไม่นำไปใช้เกินขอบเขตที่กำหนด
บริษัทอาจเปิดเผยข้อมูลตามคำสั่งหน่วยงานของรัฐ/ศาล/กฎหมาย เช่น การร้องขอพยาน เอกสาร การฟ้องร้องคดี หรือเหตุอื่นตามกฎหมาย
ข้อ 6. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
- บริษัทอาจส่ง/โอนข้อมูลไปยังบริษัทในเครือหรือคู่สัญญาในต่างประเทศในกรณีจำเป็น เพื่อประโยชน์ของงานหรือเพื่อให้บริการตามสัญญา ภายใต้การคุ้มครองที่เหมาะสมตามกฎหมาย
- บริษัทอาจใช้บริการระบบคลาวด์/ผู้ให้บริการต่างประเทศในการประมวลผล โดยจะคัดเลือกผู้ให้บริการที่มีมาตรการคุ้มครองความมั่นคงปลอดภัยที่เหมาะสม
- หากไม่มีฐานกฎหมายรองรับการโอน บริษัทจะดำเนินการเพื่อให้ได้รับความยินยอมที่ชัดแจ้งจากเจ้าของข้อมูล และกำหนดมาตรการป้องกันข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
ข้อ 7. แนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคคล
บริษัทกำหนดมาตรการด้านการรักษาความมั่นคงปลอดภัย หลักเกณฑ์ ระเบียบ และแนวปฏิบัติที่เหมาะสมทั้งเชิงเทคนิคและเชิงองค์กร ครอบคลุมการเก็บรวบรวม การจัดเก็บรักษา การใช้ และการเปิดเผยข้อมูล รวมถึงการอบรม/สื่อสารให้พนักงานและบุคคลที่เกี่ยวข้องทราบและถือปฏิบัติ
ข้อ 8. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อการประมวลผล และเมื่อพ้นระยะเวลาดังกล่าวแล้ว (ทั่วไปไม่เกิน 10 ปีนับตั้งแต่กิจกรรมประมวลผลล่าสุดสิ้นสุด) หรือเมื่อเหตุความจำเป็นสิ้นสุด บริษัทจะดำเนินการทำลายข้อมูลอย่างเหมาะสม
ข้อ 9. สิทธิของเจ้าของข้อมูลส่วนบุคคล
ภายใต้กฎหมายที่เกี่ยวข้อง เจ้าของข้อมูลมีสิทธิยื่นคำร้องต่อบริษัทเพื่อใช้สิทธิ ดังต่อไปนี้
- สิทธิในการเพิกถอนความยินยอม (โดยผลเพียงภายหน้า)
- สิทธิในการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล รวมถึงการขอให้เปิดเผยการได้มาซึ่งข้อมูล
- สิทธิในการแก้ไขข้อมูลให้ถูกต้อง
- สิทธิในการลบข้อมูล
- สิทธิในการระงับการใช้ข้อมูล
- สิทธิในการโอนย้ายข้อมูล
- สิทธิในการคัดค้านการประมวลผล
บริษัทจะดำเนินการตามคำขอภายในระยะเวลาที่เหมาะสมตามที่กฎหมายกำหนด ทั้งนี้ อาจปฏิเสธคำขอได้ในกรณีที่มีกฎหมายให้อำนาจไว้ชัดเจน
ข้อ 10. การเชื่อมต่อไปยังเว็บไซต์ของบุคคลภายนอก
บริการ/ผลิตภัณฑ์ของบริษัทอาจมีการเชื่อมต่อไปยังเว็บไซต์หรือแพลตฟอร์มของบุคคลภายนอก บริษัทไม่รับผิดชอบต่อเนื้อหาหรือมาตรการคุ้มครองข้อมูลของเว็บไซต์ดังกล่าว และขอให้ผู้ใช้งานศึกษาเงื่อนไข/นโยบายของเว็บไซต์ปลายทางโดยตรง
ข้อ 11. การทบทวนและเปลี่ยนแปลงนโยบาย
บริษัทอาจปรับปรุงแก้ไขนโยบายฉบับนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับข้อกำหนดตามกฎหมายหรือการเปลี่ยนแปลงกระบวนการทำงาน โดยจะประกาศให้ทราบอย่างชัดเจนก่อนเริ่มมีผลบังคับใช้
ข้อ 12. ช่องทางการติดต่อบริษัท
บริษัท เอนเนอร์ยี่ คอมเพล็กซ์ จำกัด
สถานที่ติดต่อ: ศูนย์เอนเนอร์ยี่คอมเพล็กซ์ เลขที่ 555/1 ถนนวิภาวดีรังสิต แขวงจตุจักร เขตจตุจักร กรุงเทพมหานคร 10900
โทรศัพท์: 0-2140-1234
อีเมล: [email protected]
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
สถานที่ติดต่อ: ศูนย์เอนเนอร์ยี่คอมเพล็กซ์ เลขที่ 555/1 ถนนวิภาวดีรังสิต แขวงจตุจักร เขตจตุจักร กรุงเทพมหานคร 10900
โทรศัพท์: 0-2140-1148
อีเมล: [email protected]
ข้อ 13. กฎหมายที่ใช้บังคับ
นโยบายฉบับนี้อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทย และศาลไทยเป็นผู้มีอำนาจในการพิจารณาข้อพิพาทที่อาจเกิดขึ้น