นโยบายคุ้มครองข้อมูลส่วนบุคคล

นโยบายคุ้มครองข้อมูลส่วนบุคคล

 บริษัท เมตะ คอร์ปอเรชั่น จำกัด (มหาชน)

หมวด 1 หลักการและเหตุผล

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จัดทำเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ ซึ่งการตราพระราชบัญญัตินี้สอดคล้องกับเงื่อนไขที่บัญญัติไว้ในมาตรา 26 ของรัฐธรรมนูญแห่งราชอาณาจักรไทย

บริษัท เมตะ คอร์ปอเรชั่น จำกัด (มหาชน)  บริษัทฯ ยึดมั่นการดำเนินธุรกิจอย่างมีจรรยาบรรณ เคารพและปฏิบัติตามกฎหมายที่บังคับใช้ ได้ตระหนักถึงความเป็นส่วนตัวด้านข้อมูลอันเกี่ยวกับข้อมูลส่วนบุคคล มุ่งมั่นที่จะปกป้องความเป็นส่วนตัวของข้อมูลส่วนบุคคล จึงประกาศนโยบายเพื่อเป็นหลักในการคุ้มครองข้อมูลส่วนบุคคล บริษัทฯ รับทราบถึงความต้องการความปลอดภัยในการทำธุรกรรมและการเก็บรักษาข้อมูลส่วนบุคคล จึงให้ความสำคัญด้านการเคารพสิทธิในความเป็นส่วนตัวของบุคคลและการรักษาความปลอดภัยของข้อมูลส่วนบุคคล โดยได้กำหนดนโยบาย ระเบียบ และหลักเกณฑ์ต่าง ๆ ในการดำเนินงาน ด้วยมาตรการที่เข้มงวดในการรักษาความปลอดภัยของข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่า ข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับจะถูกนำไปใช้ตรงตามความต้องการของแต่ละบุคคลและถูกต้องตามกฎหมาย

หมวด 2 ข้อมูลส่วนบุคคล

2.1     ข้อมูลที่บริษัทเก็บรวบรวม

บริษัทฯ อาจเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลผ่านหลายช่องทาง เช่น

  • เมื่อเจ้าของข้อมูลสมัครงานกับเรา ผ่านทางเว็บไซต์หรือโทรศัพท์ รวมถึงการเข้าเป็นพนักงานของบริษัทฯ บริษัทฯขอทราบข้อมูลที่จำเป็นต่อการสมัครงานดังต่อไปนี้ ชื่อนามสกุล เบอร์โทรศัพท์ อีเมล ที่อยู่ ประวัติการศึกษา เป็นต้น
  • เมื่อเจ้าของข้อมูลติดต่อสอบถามข้อมูลหรือสนใจบริการของบริษัทฯ บริษัทฯอาจขอข้อมูลเกี่ยวกับเจ้าของข้อมูล เช่น ชื่อ อีเมล เบอร์โทรศัพท์ เป็นต้น
  • บริษัทฯอาจจัดเก็บบันทึกข้อมูลการเข้าออกเว็บไซต์ (Log Files) ของเจ้าของข้อมูล โดยจะจัดเก็บข้อมูลดังนี้ หมายเลขไอพี (IP Address) หรือ เวลาการเข้าใช้งาน เป็นต้น

2.2     ข้อมูลส่วนบุคคล

คือ ข้อมูลที่ทำให้สามารถระบุตัวตนของแต่ละบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อม ได้แก่

  • ข้อมูลส่วนบุคคลที่บุคคลให้ไว้แก่บริษัทฯ โดยตรง หรือได้รับผ่านช่องทางอื่น ทั้งที่เกิดจากการใช้บริการ ติดต่อ เยี่ยมชม ค้นหา ผ่านช่องทางดิจิทัล เว็บไซต์Call Center ผู้ที่ได้รับมอบหมาย หรือช่องทางอื่นใด
  • ข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับหรือเข้าถึงได้จากแหล่งอื่นซึ่งไม่ใช่จากท่านโดยตรง เช่น บิดา มารดา บุตรธิดา คู่สมรส พี่ น้อง หน่วยงานของรัฐ บริษัทในกลุ่มธุรกิจทางการเงิน สถาบันการเงิน ผู้ให้บริการทางการเงิน พันธมิตรทางธุรกิจ บริษัทข้อมูลเครดิต และผู้ให้บริการข้อมูล เป็นต้น ซึ่งบริษัทฯ จะเก็บรวบรวมข้อมูลจากแหล่งอื่นต่อเมื่อได้รับความยินยอมจากท่านตามที่กฎหมายกำหนด เว้นแต่มีความจำเป็นตามกรณีที่กฎหมายอนุญาต

ข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวม ใช้ และ/หรือเปิดเผย เช่น

  • ข้อมูลส่วนตัว เช่น ชื่อ นามสกุล อายุ วันเดือนปีเกิด สถานภาพสมรส เลขประจำตัวประชาชน เลขหนังสือเดินทาง
  • ข้อมูลการติดต่อ เช่น ที่อยู่อาศัย สถานที่ทำงาน หมายเลขโทรศัพท์ อีเมล ไอดีไลน์
  • ข้อมูลทางการเงิน เช่น เลขบัญชีเงินฝาก ประวัติทางการเงิน รายการถือครองหลักทรัพย์ของตนเองและผู้เกี่ยวข้อง (บิดา มารดา บุตร ธิดา คู่สมรส พี่ น้อง)
  • ข้อมูลการทำธุรกรรม เช่น รายการเดินบัญชี การชำระเงิน การกู้ยืมเงิน การลงทุนในหลักทรัพย์ของตนเองและผู้เกี่ยวข้อง (บิดา มารดา บุตร ธิดา คู่สมรส พี่ น้อง)
  • ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address, MAC Address, Cookie ID
  • ข้อมูลอื่น ๆ เช่น การใช้งานเว็บไซต์ เสียง ภาพนิ่ง ภาพเคลื่อนไหว และข้อมูลอื่นใดที่ถือว่าเป็นข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
  • คุกกี้ เว็บไซต์ของบริษัทฯ อาจใช้คุกกี้ในบางกรณี คุกกี้ คือไฟล์ข้อมูลขนาดเล็กที่จัดเก็บข้อมูลซึ่งแลกเปลี่ยนระหว่างคอมพิวเตอร์ของเจ้าของข้อมูลและเว็บไซต์ของเรา บริษัทฯ ใช้คุกกี้เฉพาะเพื่อการจัดเก็บข้อมูลที่อาจเป็นประโยชน์ต่อ เจ้าของข้อมูลในครั้งถัดไปที่เจ้าของข้อมูลกลับมาเยี่ยมชมเว็บไซต์ของบริษัทฯ เมื่อเจ้าของข้อมูลเข้าใช้บริการเว็บบราวเซอร์ เจ้าของข้อมูลสามารถตั้งค่าเพื่อยอมรับคุกกี้ทั้งหมดหรือปฏิเสธคุกกี้ทั้งหมด หรือแจ้งเตือนให้เจ้าของข้อมูลทราบเมื่อมีการส่งคุกกี้ โดยเจ้าของข้อมูลสามารถเข้าไปตั้งค่าที่เมนู “ความช่วยเหลือ” ในบราวเซอร์เพื่อเรียนรู้วิธีการเปลี่ยนแปลงการใช้คุกกี้ของเจ้าของข้อมูลได้  โปรดทราบว่าการปิดการใช้งานคุกกี้อาจส่งผลต่อการใช้งานบางบริการของเจ้าของข้อมูลได้

2.3     ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) 

คือ ข้อมูลส่วนบุคคลที่กฎหมายกำหนดเป็นการเฉพาะ ได้แก่ ข้อมูลพฤติกรรมทางเพศ ข้อมูลด้านสุขภาพ ความเห็นทางด้านการเมือง ความเชื่อในด้านศาสนา เป็นต้น ซึ่งบริษัทฯ จะเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวต่อเมื่อบริษัทฯ ได้รับความยินยอมโดยชัดแจ้งจากบุคคล หรือในกรณีที่บริษัทฯ มีความจำเป็นตามกรณีที่กฎหมายอนุญาต โดยบริษัทฯ อาจต้องเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลข้อมูลชีวภาพ (Biometric) เช่น ข้อมูลจำลองลายนิ้วมือ เพื่อวัตถุประสงค์ในการพิสูจน์และยืนยันตัวตนของบุคคลที่ขอเข้าพื้นที่ของบริษัทฯ (ต่อไปในนโยบายฉบับนี้หากไม่กล่าวโดยเฉพาะเจาะจงจะเรียกข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่มีความอ่อนไหวที่เกี่ยวกับกับบุคคลข้างต้น รวมกันว่า “ข้อมูลส่วนบุคคล”)

หมวด 3 วัตถุประสงค์และรายละเอียดของการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล

บริษัทฯ จะดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคล เพื่อประโยชน์ในการดำเนินธุรกิจได้ตามวัตถุประสงค์ ตลอดจนเพื่อปฏิบัติตามกฎหมายใด ๆ ที่บริษัทฯ หรือบุคคลต้องปฏิบัติตาม และเพื่อวัตถุประสงค์อื่นใดตามที่ระบุในนโยบายฉบับนี้ ดังนี้

3.1     เพื่อให้บริษัทฯ สามารถดำเนินธุรกิจได้ตามวัตถุประสงค์

3.2     เพื่อปฏิบัติหน้าที่ตามกฎหมายที่เกี่ยวข้องหรือใช้บังคับ (Legal Obligation) เช่น

  • การปฏิบัติตามคำสั่งของผู้มีอำนาจตามกฎหมาย
  • การปฏิบัติตามกฎหมายธุรกิจสถาบันการเงิน กฎหมายหลักทรัพย์และตลาดหลักทรัพย์ กฎหมายประกันชีวิต กฎหมายประกันวินาศภัย กฎหมายภาษีอากร กฎหมายป้องกันและปราบปรามการฟอกเงิน กฎหมายการป้องกันและปราบปรามการสนับสนุนทางการเงินแก่การก่อการร้ายและแพร่ขยายอาวุธที่มีอานุภาพทำลายล้างสูง กฎหมายคอมพิวเตอร์ กฎหมายล้มละลาย และกฎหมายอื่น ๆ ที่บริษัทฯ จำเป็นต้องปฏิบัติตามทั้งของในประเทศไทยและต่างประเทศ รวมถึงประกาศและระเบียบที่ออกตามกฎหมายดังกล่าว

3.3     เพื่อการดำเนินงานที่จำเป็นภายใต้ประโยชน์โดยชอบด้วยกฎหมาย โดยไม่เกินขอบเขตที่บุคคลสามารถคาดหมาย

         ได้อย่างสมเหตุสมผล (Legitimate Interest) เช่น 

  • การบันทึกภาพCCTV การแลกบัตรก่อนเข้าพื้นที่ของบริษัทฯ
  • การรักษาความสัมพันธ์กับลูกค้า เช่น การจัดการข้อร้องเรียน การประเมินความพึงพอใจ การดูแลลูกค้าโดยพนักงานของบริษัทฯ
  • การบริหารความเสี่ยง การกำกับตรวจสอบ การบริหารจัดการภายใน
  • การทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (Anonymous Data)
  • การป้องกัน รับมือ ลดความเสี่ยงที่อาจเกิดการกระทำการทุจริต ภัยคุกคามทางไซเบอร์ การผิดนัดชำระหนี้หรือผิดสัญญา (เช่น ข้อมูลล้มละลาย) การทำผิดกฎหมายต่าง ๆ (เช่น การฟอกเงิน การสนับสนุนทางการเงินแก่การก่อการร้ายและแพร่ขยายอาวุธที่มีอานุภาพทำลายล้างสูง ความผิดเกี่ยวกับทรัพย์ ชีวิต ร่างกาย เสรีภาพ หรือชื่อเสียง) ซึ่งรวมถึงการแบ่งปันข้อมูลส่วนบุคคลเพื่อยกระดับมาตรฐานการทำงานของสำนักงาน ในการป้องกัน รับมือ ลดความเสี่ยงข้างต้น
  • การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของกรรมการ ผู้มีอำนาจกระทำการแทน ตัวแทน ของลูกค้านิติบุคคล
  • การติดต่อ การบันทึกภาพ การบันทึกเสียงเกี่ยวกับการจัดประชุม อบรม สันทนาการ หรือออกบูธ
  • การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ศาลมีคำสั่งพิทักษ์ทรัพย์
  • การรับ-ส่งพัสดุ

3.4     ข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับมีการประมวลผล แยกตามฐานกฎหมายดังนี้

  • ฐานสัญญา(Contract)
  • ฐานประโยชน์สำคัญต่อชีวิต(Vital Interest)
  • ฐานหน้าที่ตามกฎหมาย(Legal Obligation)
  • ฐานภารกิจของรัฐ(Public Task)
  • ฐานประโยชน์โดยชอบธรรม(Legitimate Interest)
  • ฐานความยินยอม(Consent)

หากมีการเปลี่ยนแปลงวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคล (อันชอบด้วยกฎหมาย) บริษัทฯ จะแจ้งให้บุคคลรับทราบภายในเวลา 30 วัน

3.5     ข้อมูลส่วนบุคคลที่บริษัทฯ ทำการบันทึก log การใช้งานข้อมูลส่วนบุคคลแต่ละแผนกควรบันทึก log การใช้งานดังนี้

  • ถ้าใช้ทั่วไปตามวัตถุประสงค์ของบริษัทฯ ไม่ต้องบันทึก log การใช้งานข้อมูลส่วนบุคคล
  • ถ้ามีการใช้นอกวัตถุประสงค์ต้องมีการบันทึกการใช้งานข้อมูลส่วนบุคคล โดยเพิ่มวัตถุประสงค์ในการใช้งาน และขอความยินยอมจากเจ้าของข้อมูลใหม่
  • ในกรณีมีการใช้งานข้อมูลส่วนบุคคลที่มีความสำคัญที่ใช้เป็นครั้งคราว ให้พิจารณาบันทึก log การใช้งาน เพื่อเป็นการเก็บข้อมูลผู้ใช้ และทราบรายละเอียดการใช้งาน
  • มี Access Log ตรวจสอบผู้เข้ามาใช้งาน บันทึกการใช้งาน เวลาข้อมูลหลุดรั่วทำให้สามารถตรวจสอบได้
  • มี Access Control จำกัดคนเข้าถึงในการใช้งานข้อมูลส่วนบุคคล

หมวด 4 การประมวลผลข้อมูลโดยบุคคลภายนอก

บริษัทฯ อาจมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลให้บุคคลภายนอกประมวลผล บริษัทฯ จะดูแลการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด และจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เห็นว่าจำเป็นและเหมาะสมสอดคล้องกับมาตรฐานการรักษาความลับ เช่น การแยกส่วนข้อมูลก่อนส่งข้อมูลส่วนบุคคล การมีข้อตกลงรักษาความลับกับผู้รับข้อมูลดังกล่าว หรือ บริษัทฯ อาจเลือกใช้วิธีการดำเนินการให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรองจากผู้มีอำนาจตามกฎหมายที่เกี่ยวข้อง และจะดำเนินการให้การส่งหรือโอนข้อมูลส่วนบุคคลให้บุคคลภายนอกประมวลผล เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวแทนการดำเนินการตามที่กฎหมายกำหนดไว้ก็ได้

หมวด 5 การเปิดเผยข้อมูลส่วนบุคคล

บริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้อื่นภายใต้ความยินยอมของบุคคล ตามแบบให้ความยินยอม (Consent Form) หรือภายใต้หลักเกณฑ์ที่กฎหมายอนุญาตให้เปิดเผยได้

หมวด 6 การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

บริษัทฯ อาจมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังบริษัทในโครงข่ายของบริษัทฯ ที่อยู่ต่างประเทศ หรือไปยังผู้รับข้อมูลอื่นซึ่งเป็นส่วนหนึ่งของการดำเนินธุรกิจตามปกติของบริษัทฯ  เช่น การส่งหรือโอนข้อมูลส่วนบุคคลไปเก็บไว้บน server/cloud ในประเทศต่าง ๆ

กรณีที่ประเทศปลายทางมีมาตรฐานไม่เพียงพอ บริษัทฯ จะดูแลการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด และจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เห็นว่าจำเป็นและเหมาะสมสอดคล้องกับมาตรฐานการรักษาความลับ เช่น มีข้อตกลงรักษาความลับกับผู้รับข้อมูลในประเทศดังกล่าว หรือในกรณีที่ผู้รับข้อมูลเป็นบริษัทในโครงข่ายของบริษัทฯ ที่อยู่ต่างประเทศ บริษัทฯ อาจเลือกใช้วิธีการดำเนินการให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรองจากผู้มีอำนาจตามกฎหมายที่เกี่ยวข้องและจะดำเนินการให้การส่งหรือโอนข้อมูลส่วนบุคคลไปยังบริษัท

ในโครงข่ายของบริษัทฯ ที่อยู่ต่างประเทศ เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวแทนการดำเนินการตามที่กฎหมายกำหนดไว้ก็ได้