1. วัตถุประสงค์
บริษัทเคารพสิทธิความเป็นส่วนตัวของลูกค้า ผู้ถือหุ้น พนักงานของบริษัท และบุคคลต่าง ๆ ที่เกี่ยวข้องกับบริษัท (“ท่าน”) และเพื่อให้เกิดความมั่นใจว่า ท่านบุคคลดังกล่าว
จะได้รับความคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทจึงจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
2. คํานิยาม
2.1 การประมวลผล (Processing) หมายถึง การดําเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บ รวบรวม บันทึก จัดระบบ ทําโครงสร้าง เก็บรักษา ปรับปรุง
เปลี่ยนแปลง กู้คืน ใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทําลาย เป็นต้น
2.2 ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลใดๆ ที่เกี่ยวกับบุคคลธรรมดา ซึ่งทําให้สามารถระบุถึงตัวบุคคลธรรมดานั้นได้ได้ไม่ว่าทางตรงหรือทางอ้อม
โดยไม่รวมถึงข้อมูลส่วนบุคคลของผู้ถึงแก่กรรม
2.3 เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลธรรมดาซึ่งข้อมูลส่วนบุคคลสามารถระบุถึงตัวบุคคลดังกล่าวนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม
2.4 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอํานาจ หน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
2.5 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่ง ดําเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคําสั่ง
หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
2.6 บริษัท หมายถึง บริษัทเหล็กสยามยามาโตะ จํากัด
3. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการกํากับดูแลการคุ้มครองข้อมูลส่วนบุคคล
(Personal Data Protection Governance)
3.1 บริษัทจะจัดให้มีการกํากับดูแลข้อมูลส่วนบุคคล เพื่อกําหนดวิธีการ ความรับผิดชอบของหน่วยงาน ผู้ปฏิบัติงานที่เกี่ยวข้อง รวมไปถึงมาตรการที่เหมาะสมในการปฏิบัติ
ตามกฎหมาย และการติดตามมาตรการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย
3.2 บริษัทจะจัดทํานโยบาย (Policy) ขั้นตอนปฏิบัติ(Procedures) และมาตรฐานการปฏิบัติงาน (Work instruction) เพื่อให้บริษัทและพนักงานปฏิบัติงานได้สอดคล้องกับ
กฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
3.3 บริษัทจะดําเนินการฝึกอบรมพนักงานของบริษัทอย่างสมํ่าเสมอ เพื่อให้พนักงานของบริษัท ตระหนักถึงความสําคัญของการคุ้มครองข้อมูลส่วนบุคคล และทําให้มั่นใจ
ได้ว่าพนักงานของบริษัท ที่เกี่ยวข้องทุกคนผ่านการฝึกอบรม และมีความรู้ความเข้าใจในการคุ้มครองข้อมูลส่วนบุคคล และ ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
ของบริษัท
4. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)
4.1 บริษัทจะประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย โดยที่การกําหนดขอบเขตวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคล และระยะเวลาในการจัดเก็บข้อมูลส่วน
บุคคล ให้ทําได้เท่าที่จําเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย และแนวทางการดําเนินธุรกิจของบริษัท อีกทั้งบริษัทจะดําเนินการรักษาความลับ และจัดให้มีมาตร
การรักษาความมั่งคงปลอดภัยของข้อมูลส่วนบุคคล ให้มีความเหมาะสม และสอดคล้องกับการรักษาความลับข้อมูลส่วนบุคคล
4.2 บริษัทจะจัดให้มีกระบวนการและการควบคุมข้อมูลส่วนบุคคลในทุกขั้นตอนให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
4.3 บริษัทจะจัดทําบันทึกการประมวลผลข้อมูลส่วนบุคคล (Records of Processing) สําหรับบันทึกรายการและกิจกรรมต่างๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
ให้สอดคล้องกับกฎหมาย
4.4 บริษัทจะจัดให้มีกระบวนการที่ชัดเจนเพื่อให้มั่นใจได้ว่าการแจ้งวัตถุประสงค์การเก็บรวบรวมข้อมูล และรายละเอียดการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices)
และการขอความยินยอม จากเจ้าของข้อมูลส่วนบุคคลสอดคล้องกับกฎหมาย รวมทั้งจัดให้มีมาตรการดูแลและตรวจสอบ หากภายหลังมีการเปลี่ยนแปลงวัตถุประสงค์ใน
การประมวลผลข้อมูลส่วนบุคคล บริษัทจะแจ้งให้ท่านทราบ และขอความยินยอม และจัดให้มีการบันทึกการเปลี่ยนแปลงวัตถุประสงค์ในบันทึกประมวลผลข้อมูลต่อไป
4.5 บริษัทจะจัดให้มีกลไกการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล รวมทั้งจัดให้มีกลไกการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
4.6 ในกรณีที่บริษัทส่งโอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล บริษัทจะจัดทําข้อตกลงกับผู้ที่รับหรือใช้ข้อมูลส่วนบุคคลนั้นเพื่อกําหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมาย
และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
4.7 บริษัทจะทําลายข้อมูลส่วนบุคคลเมื่อครบกําหนดระยะเวลา โดยปฏิบัติให้สอดคล้องกับกฎหมาย และแนวทางการดําเนินธุรกิจของบริษัท
4.8 บริษัทจะประเมินความเสี่ยงและจัดทํามาตรการเพื่อบรรเทาความเสี่ยงและลดผลกระทบที่จะเกิดขึ้นกับการประมวลผลข้อมูลส่วนบุคคล
5. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights)
เจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่ระบุไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยบริษัทจะจัดให้มีมาตรการ ช่องทาง และวิธีการเพื่อให้เจ้าของข้อมูล
ส่วนบุคคลใช้สิทธิของตนได้ตามที่กฎหมายกําหนด รวมทั้งจะดําเนินการบันทึก และประเมินผลการตอบสนองต่อคําขอใช้สิทธิของ เจ้าของข้อมูลส่วนบุคคล
6. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security)
6.1 บริษัทจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ รวมทั้ง ดําเนินการป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลส่วนบุคคล
และการนําข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต
6.2 บริษัทจะจัดให้มีนโยบายการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (Privacy Incident Management Policy) และแนวทางการตอบสนองต่อ
เหตุการณ์ผิดปกติ (Incident Response Program) เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับ ข้อมูลส่วนบุคคลได้อย่างทันท่วงที
6.3 บริษัทจะจัดให้มีกระบวนการแจ้งเจ้าของข้อมูลส่วนบุคคล รวมถึงเจ้าพนักงานของรัฐ ผู้ควบคุม ข้อมูลส่วนบุคคล (ในกรณีที่บริษัทเป็นผู้ประมวลผลข้อมูลส่วนบุคคล
หรือเป็นผู้ควบคุมข้อมูล ส่วนบุคคลร่วมกัน) และบุคคลอื่น ให้สอดคล้องกับกฎหมาย
7. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการกํากับให้เกิดการปฏิบัติตามมาตรการคุ้มครองข้อมูลส่วนบุคคล
(Personal Data Protection Compliance)
7.1 บริษัทจะจัดให้มีกระบวนการติดตามในกรณีที่กฎหมายเปลี่ยนแปลงไป และปรับปรุงมาตรการคุ้มครองข้อมูลส่วนบุคคลให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ
7.2 บริษัทจะจัดให้มีการทบทวนและปรับปรุงนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Work Instruction) และขั้นตอนปฏิบัติ (Procedures) เพื่อให้บริษัทและพนักงาน
ปฏิบัติตามกฎหมาย
8. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
บริษัทได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data protection officer : DPO) เพื่อทำหน้าที่ตรวจสอบ และแนะนำให้บริษัท รวมทั้งพนักงาน ปฏิบัติให้สอดคล้อง
กับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
9. การติดต่อขอข้อมูลเพิ่มเติมเกี่ยวกับนโยบายการคุ้มครองข้อมูลส่วนบุคคล
ท่านสามารถติดต่อ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล บริษัทเหล็กสยามยามาโตะจำกัด เลขที่ 9 ถนน I-7 นิคมอุตสาหกรรมมาบตาพุต อ.เมือง จ.ระยอง 21500
หรือที่ Email : DPO@syssteel.com