นโยบายคุ้มครองข้อมูลส่วนบุคคล

บริษัท สหยูเนี่ยน จำกัด (มหาชน) (“บริษัท”) ตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลของผู้ถือหุ้น นักลงทุน คู่ค้า กรรมการ บุคลากรของบริษัท และบุคคลที่มีความเกี่ยวข้องกับบริษัท เพื่อให้เกิดความมั่นใจว่าบุคคลดังกล่าวจะได้รับความคุ้มครองสิทธิอย่างครบถ้วนตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และกฎหมายอื่นที่เกี่ยวข้อง คณะกรรมการบริษัทได้อนุมัตินโยบายคุ้มครองข้อมูลส่วนบุคคล โดยให้เป็นส่วนหนึ่งของคู่มือการกำกับดูแลกิจการที่ดีของบริษัท เพื่อให้บริษัทมีหลักเกณฑ์ มาตรการกำกับดูแล และการบริหารจัดการข้อมูลส่วนบุคคลตั้งแต่การเก็บรวบรวบ นำไปใช้ เปิดเผย รวมถึงการเก็บรักษาข้อมูลส่วนบุคคลให้มีความมั่นคงปลอดภัย โดยมีสาระสำคัญดังต่อไปนี้

1. ขอบเขตการบังคับใช้

นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ใช้บังคับกับบริษัท บุคลากรของบริษัท และบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของบริษัท

2. คำนิยาม

“บริษัท” หมายถึง บริษัท สหยูเนี่ยน จำกัด (มหาชน)
“การประมวลผล (Processing)” หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม บันทึก จัดทำระบบ ทำโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน นำไปใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทำลาย
“ข้อมูลส่วนบุคคล (Personal Data)” หมายถึง ข้อมูลที่เกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม
>“เจ้าของข้อมูลส่วนบุคคล (Data Subject)” หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม
“ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับประมวลผลข้อมูลส่วนบุคคล
“ผู้ประมวลข้อมูลส่วนบุคคล (Data Processor)” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Officer)” หมายถึง บุคคลธรรมดาหรือ คณะบุคคลซึ่งบริษัทแต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

3. นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการกํากับดูแลการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Governance)

3.1 บริษัทจัดให้มีโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล โดยกำหนดวิธีการและมาตรการที่เหมาะสมในการปฏิบัติตามกฎหมาย ดังนี้

(1) กําหนดบทบาท ภารกิจ และความรับผิดชอบของหน่วยงานและผู้ปฏิบัติงานที่เกี่ยวข้องให้ชัดเจน เพื่อสร้างกลไกการกํากับดูแลการประมวลผลข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

(2) แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท (Data Protection Officer : DPO) โดยมีบทบาทและหน้าที่ตามที่กฎหมายกําหนด

3.2 บริษัทจัดทำนโยบายและแนวปฏิบัติ รวมถึงเอกสารที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องตามที่กฎหมายกำหนด

3.3 บริษัทจัดให้มีกระบวนการบริหารจัดการในการปฏิบัติตามนโยบาย เพื่อควบคุมดูแลให้มีการปฏิบัติ ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท

3.4 บริษัทจะดําเนินการฝึกอบรมบุคลากรของบริษัท เพื่อให้ทุกคนมีความรู้ ความเข้าใจ และตระหนักถึงความสําคัญของการคุ้มครองข้อมูลส่วนบุคคล

4. นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)

4.1 บริษัทจะประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลเท่าที่จําเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส โดยบริษัทจะดําเนินการรักษาความลับ ความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ

4.2 บริษัทจะจัดทําบันทึกการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities : ROPA) สําหรับบันทึกรายการและกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

4.3 บริษัทจะจัดให้มีแบบแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Notice) สำหรับกรรมการ ผู้บริหาร ผู้ถือหุ้น คู่ค้า บุคลากรของบริษัท และบุคคลที่มีความเกี่ยวข้องกับบริษัท แบบให้ความยินยอม (Consent Form) และเอกสารอื่นๆตามที่กฏหมายกำหนด

4.4 กรณีที่บริษัทส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล บริษัทจะจัดทําข้อตกลงกับผู้ที่รับหรือใช้ข้อมูลส่วนบุคคลนั้น เพื่อกําหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมาย

4.5 กรณีที่บริษัทต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะปฏิบัติให้สอดคล้องกับกฎหมาย

4.6 บริษัทจัดให้มีระบบการตรวจสอบ เพื่อดำเนินการลบ หรือทําลายข้อมูลส่วนบุคคลเมื่อพ้นกําหนดระยะเวลาการเก็บรักษา

4.7 บริษัทจะประเมินความเสี่ยงและจัดทํามาตรการเพื่อบรรเทาความเสี่ยงและลดผลกระทบที่จะเกิดขึ้นกับการประมวลผลข้อมูลส่วนบุคคล

5. นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights)

บริษัทจะจัดให้มีมาตรการ ช่องทาง และวิธีการ เพื่อรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลและตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลภายในระยะเวลาที่กฎหมายกำหนด

6. นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security)

6.1 บริษัทจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีประสิทธิภาพ เพียงพอ เหมาะสม และเป็นไปตามที่กฎหมายกำหนด เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของบริษัทโดยมิชอบ รวมทั้งจัดให้มีการทบทวนและตรวจสอบมาตรการดังกล่าวอย่างสม่ำเสมอ

6.2 ทุกหน่วยงานในบริษัทต้องให้ความร่วมมือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หากมีเหตุการณ์ละเมิดข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องแจ้งเหตุนั้นต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง นับแต่ทราบเหตุ หากการละเมิดนั้นเป็นการละเมิดที่มีความเสี่ยงสูงซึ่งมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะแจ้งเหตุนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ

7. บทบาท หน้าที่ และความรับผิดชอบ
คณะกรรมการบริษัท

มีหน้าที่กํากับดูแลและสนับสนุนให้บริษัทดําเนินการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ และสอดคล้องกับกฎหมาย

กรรมการผู้อำนวยการ

มีหน้าที่ติดตาม ควบคุมให้ทุกหน่วยงานที่ดูแลปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท และส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้นกับพนักงานของบริษัท

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)

มีหน้าที่ให้คำแนะนำ คำปรึกษา และตรวจสอบการดำเนินงานที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของบริษัทให้เป็นไปตามกฎหมายกำหนด รวมถึงทำหน้าที่ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

พนักงานของบริษัท

มีหน้าที่ปฏิบัติหน้าที่ให้สอดคล้องกับนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท และรายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมุลส่วนบุคคล และการไม่ปฏิบัติตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ผู้บังคับบัญชาทราบ

8. การทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะจัดให้มีการทบทวนและปรับปรุง หรือแก้ไขนโยบายฉบับนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับข้อกฏหมาย การเปลี่ยนแปลงการดำเนินงานของบริษัทฯ รวมถึงข้อเสนอแนะต่างๆที่บริษัทพิจารณาแล้วเห็นว่าเหมาะสม และเป็นประโยชน์ต่อทุกฝ่าย โดยบริษัทจะประกาศให้ทราบผ่านทางเว็บไซต์ของทางบริษัท www.sahaunion.co.th

9. บทลงโทษ

การไม่ปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท อาจมีความผิดและถูกลงโทษทางวินัย รวมทั้งอาจได้รับโทษตามที่กฎหมายกําหนด

10. ช่องทางการติดต่อบริษัทฯ

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
อีเมล์: dpo@sahaunion.co.th
บริษัท สหยูเนี่ยน จำกัด (มหาชน)
1828 ถนนสุขุมวิท แขวงพระโขนงใต้ เขตพระโขนง กรุงเทพฯ 10260

นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ใช้บังคับกับบุคลากรทุกระดับของบริษัท รวมถึงกรรมการและผู้บริหารของบริษัท โดยทุกคนต้องเข้าใจและปฏิบัติตามนโยบายฉบับนี้ รวมทั้งให้ความร่วมมือและสนับสนุนให้เกิดการปฏิบัติอย่างจริงจังทั่วทั้งองค์กร โดยมีรายละเอียดแบบแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Notice) สำหรับกรรมการ ผู้บริหาร ผู้ถือหุ้น คู่ค้า บุคลากรของบริษัท และบุคคลที่มีความเกี่ยวข้องกับบริษัท แบบให้ความยินยอมการประมวลผลข้อมูล (Personal Data Processing Consent Form) และเอกสารอื่น ๆ แนบท้ายประกาศนี้

ประกาศ ณ วันที่ 26 พฤษภาคม พ.ศ. 2565