บริษัท ไอยเรศ จำกัด ตระหนักและให้ความสำคัญกับข้อมูลส่วนบุคคลของลูกค้า คู่ค้า พนักงาน และ/หรือของผู้เกี่ยวข้องกับธุรกิจของบริษัทฯ และกิจการในเครือเป็นอย่างสูง และเพื่อให้การเก็บ การใช้งาน การเปิดเผยข้อมูลส่วนบุคคลสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทฯจึงจัดทำคู่มือนโยบายการคุ้มครองข้อมูลส่วนบุคคล ดังต่อไปนี้
ส่วนที่ 1 : ข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองตามนโยบายนี้ ให้รวมถึง
1. ข้อมูลส่วนบุคคลทั่วไปของลูกค้า คู่ค้า ผู้มาติดต่องาน หรือบุคคลภายนอกที่เกี่ยวข้องใดๆ ในธุรกิจของบริษัทฯและกิจการในเครือ เช่น ชื่อ-นามสกุล รูปถ่าย หมายเลขโทรศัพท์ อีเมล์ ไอดีไลน์ เลขที่บัตรประจำตัวประชาชน เลขที่บัญชีธนาคาร ลายมือชื่อ ทะเบียนรถยนต์ หรือข้อมูลส่วนบุคคลอื่นใดที่จำเป็นต้องใช้ในการทำธุรกิจร่วมกันหรือตามที่กฎหมายกำหนด
2. ข้อมูลส่วนบุคคลทั่วไปของพนักงาน เช่น ชื่อ-นามสกุล เลขที่บัตรประจำตัวประชาชน เลขที่บัญชีธนาคาร รูปถ่าย ลายมือชื่อ ลายนิ้วมือ เบอร์โทรศัพท์ อีเมล์ ไอดีไลน์ เฟชบุกส์ วุฒิการศึกษา ชื่อบิดา มารดา คู่สมรส ข้อมูลในใบสมัครงาน หรือข้อมูลอื่นใดที่จำเป็นต้องใช้ในการจ้างงาน การบริหารงาน หรือตามที่กฎหมายกำหนด ขอจากเจ้าของข้อมูลโดยตรง
3. ข้อมูลที่มีความอ่อนไหวทั้งของลูกค้าหรือของพนักงาน เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ลักษณะเด่นทางกายภาพ หรือข้อมูลอ่อนไหวอื่นใดที่กฎหมายกำหนด ที่จำเป็นต้องใช้ในการทำงานหรือทำธุรกิจร่วมกันหรือตามที่กฎหมายกำหนด
ส่วนที่ 2 : วัตถุประสงค์และขอบเขตการใช้ข้อมูล
โดยจะใช้ข้อมูลในทุกฝ่ายที่จำเป็นต้องใช้ข้อมูลนั้น ๆ ในการทำงาน ทั้งในสำนักงาน โครงการ ส่วนงานของบริษัทฯและกิจการในเครือ คู่ค้า หรือหน่วยงานอื่นใดที่จำเป็นต้องใช้ข้อมูลดังกล่าว ทั้งในประเทศและหรือต่างประเทศ (ถ้ามี) ทั้งในปัจจุบันและในอนาคต โดยจะเก็บ รวบรวม ใช้ เปิดเผยอย่างเป็นความลับเพื่อความมั่นคงปลอดภัยของเจ้าของข้อมูล
ส่วนที่ 3 : อายุการเก็บข้อมูลส่วนบุคคล
1. ข้อมูลส่วนบุคคลของลูกค้า คู่ค้า ผู้มาสมัครงานหรือติดต่องาน พนักงาน และของผู้เกี่ยวข้องกับธุรกิจของบริษัทฯ และกิจการในเครือ บริษัทฯ และกิจการในเครือจะเก็บไว้ตลอดเวลาที่ใช้ข้อมูลดังกล่าวตามวัตถุประสงค์และขอบเขตการใช้ข้อมูลในส่วนที่ 2 ข้างต้น โดยจะเก็บไว้ในสื่ออิเลคทรอนิกส์หรือเป็นเอกสารที่ปลอดภัย และจะเก็บต่อเนื่องไปตามระยะเวลาที่กฎหมายหรือระเบียบ ประกาศ หรือหลักเกณฑ์ที่บริษัทฯ และกิจการในเครือกำหนดให้เก็บรักษาไว้แม้จะไม่ได้ใช้ข้อมูลดังกล่าว จากนั้นจะทำลายโดยการย่อยหรือเผาทำลายหรือวิธีอื่นใด เพื่อป้องกันการนำมาใช้อีก
2. ข้อมูลใดที่เก็บไว้ในสื่ออิเลคทรอนิกส์ที่มั่นคง ปลอดภัย สามารถตรวจสอบได้ ถูกต้องตามจริงแล้ว บริษัทฯอาจทำลายข้อมูลที่เป็นกระดาษก็ได้ เพื่อไม่ให้เป็นภาระ ไม่ซ้ำซ้อน ในการจัดเก็บ
3. ข้อมูลที่ใช้งานทั้งข้อมูลส่วนบุคคลของลูกค้าหรือพนักงาน หากมีการแก้ไขเปลี่ยนแปลง บริษัทฯ จัดให้ผู้ควบคุมข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ทำการทบทวน อนุมัติก่อนการแก้ไขเปลี่ยนแปลงเพื่อให้มั่นใจว่า ข้อมูลที่คุ้มครองไว้นั้นได้รับการเก็บ รวบรวม ใช้ เปิดเผยอย่างมั่นคง ปลอดภัยของข้อมูล
4. ข้อมูลที่มีความอ่อนไหว (ตามมาตรา 26) หากจะมีการเก็บ รวบรวม ใช้ เปิดเผย หรือแก้ไขเปลี่ยนแปลงตามความจำเป็นในการบริหารงานหรือตามกฎหมายกำหนด บริษัทฯ จะขอความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้งและใช้อย่างระมัดระวังเป็นความลับ
5. ระหว่างเก็บ รวบรวม ใช้ เปิดเผย บริษัทฯกำหนดให้มีการตรวจสอบเป็นระยะ และให้มีการทบทวน ปรับปรุงให้เป็นปัจจุบันทั้งระบบอย่างน้อยปีละ 1 ครั้ง หรือในกรณีที่มีเหตุการณ์ผิดปกติ หรือกฎหมายประกาศแก้ไขเปลี่ยนแปลง หรือเทคโนโลยีเปลี่ยนแปลง บริษัทฯ จะทบทวนและแก้ไขปรับปรุงทันที เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลได้รับการคุ้มครองตามนโยบายและกฎหมายที่เกี่ยวข้อง
ส่วนที่ 4 : สถานที่เก็บและผู้เก็บรักษาข้อมูลส่วนบุคคล
1. บริษัทฯ จะเก็บ รวบรวมข้อมูลส่วนบุคคลในคอมพิวเตอร์ หรือสื่ออิเลคทรอนิกส์อื่นใดที่มีความ
มั่นคงปลอดภัย และจัดให้ผู้ใช้งานมี password หรือรหัสลับเฉพาะคนเพื่อให้มั่นใจว่า ข้อมูลส่วนบุคคลมีการเก็บรักษาที่มั่นคงและปลอดภัย
ส่วนที่ 5 : การมอบหมายให้บุคคลภายนอกประมวลผลให้ หรือการส่งข้อมูลส่วนบุคคลไปต่างประเทศ
การส่งข้อมูลที่มีความอ่อนไหวไปหน่วยงานภายนอก หรือส่งไปต่างประเทศ ต้องได้รับอนุมัติจากผู้ควบคุมข้อมูลส่วนบุคคลในนามนิติบุคคล (กรรมการผู้จัดการ) และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้มีความเห็นร่วมกันและปฏิบัติตามกฎหมายก่อนทุกครั้ง เพื่อให้มั่นใจว่า หน่วยงานภายนอกหรือประเทศปลายทางมีการคุ้มครองที่มั่นคง ปลอดภัยตามที่กฎหมายกำหนด
ส่วนที่ 6 : ผู้มีหน้าที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
เพื่อให้นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ดำเนินไปอย่างต่อเนื่องและมีประสิทธิภาพ บริษัทฯ จึงแต่งตั้งให้พนักงานผู้มีตำแหน่งต่อไปนี้ ปฏิบัติตามนโยบายและ/หรือกฎหมายที่เกี่ยวข้อง
1. กรรมการผู้จัดการ เป็นผู้ควบคุมข้อมูลส่วนบุคคลในนามนิติบุคคล
2. ผู้แทนฝ่ายบริหารในระบบการคุ้มครองข้อมูลส่วนบุคคล มีหน้าที่จัดทำและบริหารระบบการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ/หรือ กฎหมายอื่นที่เกี่ยวข้อง
3. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นผู้เสนอแนะ ตรวจสอบ ประสานงาน ควบคุม เพื่อให้ระบบการคุ้มครองข้อมูลส่วนบุคคลสอดคล้องกับกฎหมาย เป็นความลับและดำเนินไปอย่างมีประสิทธิภาพ
4. ผู้อำนวยการฝ่ายทรัพยากรบุคคล เป็นผู้ควบคุมข้อมูลส่วนบุคคลของพนักงาน
5. ผู้อำนวยการฝ่าย/หัวหน้าส่วนงาน/ผู้จัดการโครงการ เป็นผู้ควบคุมข้อมูลส่วนบุคคลของพนักงานหรือของลูกค้าที่หน่วยงานตนเองใช้งาน
6. พนักงานทุกคน เป็นผู้เก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลที่ตนเองใช้งานตามหน้าที่ที่ได้รับมอบหมาย
7. ผู้จัดการฝ่ายคอมพิวเตอร์ เป็นผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บรักษาไว้ในสื่ออิเลคทรอนิกส์ ซอร์ฟแวร์ ทั้งหมดของบริษัทฯ ให้มีความมั่นคง ปลอดภัย
8. คณะทำงานระบบการคุ้มครองข้อมูลส่วนบุคคล เป็นผู้จัดทำและช่วยจัดการระบบคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายนี้
ส่วนที่ 7 : สิทธิของเจ้าของข้อมูล
ส่วนที่ 8 : หน้าที่ของเจ้าของข้อมูล1. นำส่งข้อมูลส่วนบุคคลของตนให้ผู้มีหน้าที่เกี่ยวข้อง ตามที่ร้องขอภายในเวลาที่กำหนด
2. ถ้ามีการเปลี่ยนแปลงข้อมูลส่วนบุคคล ให้แจ้งผู้เกี่ยวข้องทราบทันทีหรือภายใน 7 วัน นับถัดจากวันที่มีการเปลี่ยนแปลง
3. ต้องใช้ข้อมูลส่วนบุคคลของพนักงานหรือของลูกค้าตามหน้าที่โดยสุจริต ห้ามนำไปหาประโยชน์ส่วนตัวหรือห้ามทำให้เจ้าของข้อมูลเสียหายใด ๆ ทุกกรณี
4. หากพบเหตุผิดปกติ หรือเหตุการณ์ละเมิดข้อมูลส่วนบุคคลอันอาจทำให้เกิดความเสียหาย ให้แจ้งบริษัทฯทราบทันทีเพื่อระงับได้ทันเหตุการณ์
ส่วนที่ 9 : บทลงโทษผู้ฝ่าฝืน
พนักงาน ลูกค้า หรือผู้ใด นำข้อมูลส่วนบุคคลที่บริษัทฯ และกิจการในเครือคุ้มครองไว้
1. ไปใช้ เปิดเผย นอกจากวัตถุประสงค์ที่บริษัทฯ และกิจการในเครือกำหนดไว้ หรือโดยที่เจ้าของข้อมูลไม่ยินยอม
2. นำไปหาประโยชน์ส่วนตัว หรือทำให้เจ้าของข้อมูลเสียหาย
3. ทำผิดพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
4. ทำผิดนโยบายหรือระเบียบปฏิบัติอื่นใดที่เกี่ยวข้องกับนโยบายนี้
บริษัทฯ และกิจการในเครือจะลงโทษตามข้อบังคับเกี่ยวกับการทำงานของบริษัทฯ และกิจการในเครือ และ/หรือดำเนินคดีตามกฎหมายที่เกี่ยวข้องกับการกระทำความผิดนั้น (แล้วแต่กรณี)
ส่วนที่ 10 : การประชาสัมพันธ์นโยบายคุ้มครองข้อมูลส่วนบุคคลฝ่ายทรัพยากรบุคคลเผยแพร่นโยบายนี้ ให้ผู้สมัครงาน พนักงานใหม่และพนักงานประจำทราบ
ส่วนที่ 11 : การขอความยินยอมให้ใช้ข้อมูลส่วนบุคคล
1. ฝ่ายทรัพยากรบุคคลแจ้งนโยบายนี้ แจ้งวัตถุประสงค์การใช้ข้อมูลให้ผู้สมัครงานทราบและยินยอมแต่แรกก่อนการสมัครงาน